toque de administrador - linuxmag.com.br · grandes estão se transformando em ferramentas...
TRANSCRIPT
62 www.linuxmagazine.com.br
Toque de administradorSmartphones e tablets perderam o status de gadgets e se tornaram parte do kit de ferramentas do administrador de sistemas. Analisamos os aplicativos mais importantes para administradores.por Holger Gantikow e Markus Feilner
Na era pré-smartphone, que não foi há muito tempo, era difícil imaginar um
uso prático para um dispositivo móvel na administração do sis-tema – se descontarmos laptops com interfaces gráficas e web ou software de terminal projetado para alta latência. Hoje, tudo isso mudou: com a banda larga e conexões de dados móveis e com hotspots e redes sem fio difundidas nas empresas, os ad-ministradores são cada vez mais capazes de deixar suas mesas de trabalho e sair da sala de servi-dor sem precisar voltar correndo pra verificar algum problema. Smartphones e tablets com ta-manhos de tela suficientemente grandes estão se transformando em ferramentas multifuncionais que podem fazer a maioria das tarefas importantes, enquanto estamos na estrada ou em caso de alguma emergência.
Zoológico de dispositivosDispositivos Android não são ca-racterizados por nenhum tipo de homogeneidade de versão, por isso, decidimos testar os programas em vários dispositivos: um Nexus 4 com o mais recente Android 4.3,
um Nook HD+ com uma versão um pouco mais antiga do Android 4, um antigo Motorola Defy com Cyanogen Mod 7 (Android 2.3.7), um Sony Experia com Android 2.3 com muitos backports fornecidos pelo fabricante, e um HTC Desire Z com Android AOSP 4.2.2. Nenhum dos programas testados tiveram
Android
Figura 1 Smartphones e tablets de vários tamanhos, formatos e preços podem re-solver o problema de administração móvel de redes.
63Linux Magazine #109 | Março de 2014
problemas de compatibilidade em qualquer um dos dispositivos.
Do lado Apple, tivemos acesso a um iPhone com iOS 6 e um iPad de primeira geração com iOS 5 – mais uma vez, sem problemas de compatibilidade (figuras 1 e 2).
Lojas e VPNSe vasculharmos a Play Store ou a App Store da Apple, é provável que encontremos um grande número de aplicativos, em sua maioria gra-tuitos, que ajudam os administra-dores a gerenciar os sistemas su-portados de forma razoavelmente conveniente usando um pequeno dispositivo móvel. Além disso, uma enorme variedade de ferramentas espalhadas pela web facilitam a vida dos profissionais de TI. A maioria dos sistemas não são expostos à Internet sem proteção, mas, ao invés disso, encontram-se ocultos atrás de um firewall, por isso, na maioria dos casos, o acesso só pode ser feito através de uma conexão VPN. A configuração desta cone-xão é descrita para Android [1] e iOS [2] em outro lugar.
Senhor do consoleSe o usuário gerenciar com fre-quência servidores Unix e Linux,
sua principal ferramenta será um cliente SSH. Em dispositivos An-droid, o ConnectBot [3], de Kenny Root e Jeffrey Sharkey, é provavel-mente a melhor escolha atualmen-te disponível (figura 3). Ele suporta logins usando pares de chaves SSH e também pode tunelar portas, o que se prova especialmente útil se quisermos o acesso SSH para subs-tituir uma VPN completa.
O ConnectBot estabelece várias sessões simultâneas e permite copiar e colar dados para outros usos – por exem-plo, para informar os colegas do status atual do sistema por
email ou usar um cheat sheet com os comandos usados com mais frequência. Mesmo aque-les que usam um gerenciador de senhas como o KeePassDroid [4] em breve apreciarão este re-curso. Um detalhe interessante é que o ConnectBot pode emi-tir comandos automaticamente para o usuário após o login. Esta automação pós-login então se encarrega de tarefas padrão, tais como verificação de logins ou recursos ativos.
X para AndroidExecutar comandos na inicializa-ção também é útil para a exporta-ção de um display, para que pos-samos iniciar aplicativos gráficos em combinação com o servidor X para Android [5]. Infelizmente, o android-xserver não suporta as extensões necessárias para ini-ciar o Firefox, por exemplo. No entanto, continua a oferecer a implementação do servidor X mais abrangente para Android.
Teclado hackerSe o usuário estiver familiariza-do com as vantagens proporcio-nadas pelos controles baseados em teclado em um Shell, defi-nitivamente irá apreciar alguns
Figura 2 Aparelhos como o HTC Desire Z que já tem alguns anos ainda podem ser utilizados com as mais modernas ferramentas de monitoramento.
Figura 3 SSH com CoonectBot.
64 www.linuxmagazine.com.br
recursos avançados para telas sensíveis ao toque, incluindo a tecla [Tab], por vezes ausente no recurso de autocompletar. Apenas alguns dispositivos An-droid possuem esse detalhe prá-tico pré-instalado (figura 3), e o Hacker’s Keyboard [6] (figura 4) torna o Shell do Unix com o Con-nectBot muito mais agradável de usar ao adaptar o [Tab], [Ctrl], [Esc] e teclas de setas.
Durante a instalação, note que os novos teclados do Android não são automaticamente ati-vados por razões de segurança; em vez disso, o usuário precisa ativá-los nas configurações do sistema. Embora isso pareça desnecessariamente complica-do à primeira vista, na verdade é algo que faz todo o sentido: teclados instalados involunta-riamente poderiam agir como keyloggers e capturar senhas, entre outras coisas.
Console da AppleNo lado iOS, o iSSH [7] (figura 5) fornece um poderoso cliente SSH. Além das características descritas para o ConnectBot, ele ainda su-porta o Remote Desktop Protocol (RDP) e o Virtual Network Com-
puting (VNC) fora da caixa, e ele vem com seu próprio servidor X. Podemos iniciar o Firefox sem problemas, embora tenhamos que fazer algumas concessões em com-paração com a versão móvel, que é otimizada para tablets e smar-tphones. Ainda é melhor usar um Firefox lento tunelado via SSH do que expor recursos da intranet.
Graças ao seu próprio servi-dor X, o iSSH é muito mais con-veniente de usar do que unindo o ConnectBot a um servidor X, pois é necessário muito menos esforço de configuração.
Windows remotoSe o acesso de linha de comando não é suficiente e o usuário também precisa de acesso a sistemas Windo-ws, os aplicativos individuais para terminal de protocolos de servidor, como o RDP e o VNC oferecem uma ampla seleção. Este desejo de maior comodidade leva a um aplicativo de nome complicado, o PocketCloud Remote RDP/VNC [8], da Wyse Technology, que permite o acesso RDP e VNC a sistemas Windows, Linux e Mac OSX e está disponível tanto para Android como iOS. O aplicativo suporta duas formas de login. A primeira pede o endereço
IP ou nome do host do sistema de destino, a porta de destino, e quais-quer outras informações de login necessárias. O segundo método, o modo automático, requer que o PocketCloud Companion seja instalado no sistema de destino e uma conta do Gmail.
Esta alternativa é especialmente interessante para sistemas priva-dos monitorados regularmente além da rede corporativa. A prin-cipal restrição à versão gratuita é que ela só permite armazenar uma conexão. Antes de criar uma nova conexão, o usuário deve apagar a existente. Se isso não for suficiente para o usuário, é possível comprar a versão comercial por cerca de 15 dólares americanos; a versão Pro não possui tais limitações e ainda inclui criptografia de 256 bits NLA/TLS para conexões RDP e suporte para VMware View. Se o usuário precisa abrir várias sessões RDP diferentes com uma certa frequ-ência, poderá usar o 2X Client RDP/Remote Desktop [9]. Ele funciona mesmo com a antiga versão 1.6 do Android e permite criar múltiplas conexões. Para acesso apenas por VNC, o Mocha VNC Lite fornece uma alternativa para Android e
Figura 4 O ConnectBot e o Hackers Keyboard trabalham muito bem juntos. Figura 5 ISSH para dispositivos iOS pos-sui integração com X server.
65Linux Magazine #109 | Março de 2014
iOS [10]. Infelizmente, ele também permite apenas um único servidor.
NoMachineAdministradores que dependem do gerenciamento de seus siste-mas remotos no Free NX ou o NX proprietário da NoMachine são deixados de fora. Atualmente, nem um único cliente executa em Android ou iOS, embora um “how- to” para geeks descreva como executar o NX em um ambiente chroot com Ubuntu no Android [11]; no entanto, os benefícios desta solução na rotina diária parecem ser mínimos.
A NoMachine aparentemente está trabalhando em um cliente para Android e iOS, que ainda não estava disponível no momento do fechamento desta edição, em-bora estivesse programado para estrear em dezembro de 2013, de acordo com o anúncio na página de download [12]. O site não indica se as versões mais antigas que a V4 do protocolo são suportadas. Os antigos fabricantes italianos, agora baseados em Luxembur-go, levaram algum tempo com a recém-lançada quarta edição do
programa – muitos anos, na ver-dade, para o desespero dos clien-tes. A paciência parece necessária.
TeamViewer com toque remotoO software de compartilhamen-to de desktop TeamViewer [13] (figura 6) está disponível para os sistemas operacionais de desktop mais comuns – Windows, Mac OSX e Linux – assim como em uma versão de cliente para Android e iOS. O TeamViewer pode ser usado para apresentações online ou reuniões, mas é também ade-quado para tarefas de manuten-ção remota. Um efeito positivo para se observar aqui é a versão Quick Support (de suporte rápi-do) que não requer instalação e é especialmente adequada para o suporte espontâneo e simples de usuários menos técnicos.
Os usuários só precisam bai-xar um programa e executá-lo. O software então exibe um ID de sessão e uma senha. Se ne-cessário, os usuários podem pas-sar ambos para o auxiliar móvel no telefone, que em seguida se
conecta ao sistema e resolve o problema. O auxiliar remoto, en-tão, assume o comando e pode até mesmo gerenciar o sistema através do controle por gestos e lida com as transferências de arquivos em ambos os sentidos.
ArtesanalTão elegante como um console ou uma sessão de login gráfico podem ser, um administrador de sistema, muitas vezes, só precisa de respos-tas para as perguntas mais habituais. O quão completo são os sistemas de arquivos? Quantos usuários es-tão conectados ao sistema? Quanto tempo ele tem estado realmente em execução? Se o usuário não tiver organizado os sistemas em um sistema de monitoramento abrangente como o Nagios, poderá apreciar uma ferramenta como o CuraSysAdmin [14] (figura 7), que só está disponível para Android. O Cura responde a estas e outras questões e também inclui um emulador de terminal bastante rudimentar, o scanner de portas Nmap, e um vi-sualizador de arquivo de log, que
Figura 6 O TeamViewer (gerenciando uma sessão Mac OSX na imagem) está dispo-nível para uma grande variedade de clientes e servidores.
Figura 7 O Cura mostra os dados de monitoramento mais importantes.
66 www.linuxmagazine.com.br
fornece acesso pré-configurado para os principais logs do sistema em /var/log, que ainda pode ser ar-mazenado no dispositivo Android.
Um elegante mas opcional re-curso do Cura previne sua instala-ção em dispositivos Android que não possuam SIM card instalado. O Cura implementa uma opção para exclusão remota de seu ban-co de dados e envia mensagens de texto ou e-mails com a posição atual do dado em caso de perda do aparelho. Uma conexão GSM é imprescindível pra isso.
Gerenciamento de arquivosOs usuários que procuram um gerenciador de arquivos que seja também adequado para uso em rede irá fatalmente encontrar o ES File Explorer [15]. Além de seu recurso de gerenciador de arquivos fácil de usar, com suporte para ar-quivos ZIP e RAR, ele oferece um visualizador de arquivos integrado, que pode lidar com a maioria dos formatos e possui um mecanismo de pesquisa integrado, que poderá auxiliar o usuário a encontrar todos os arquivos de um determinado tipo sem a necessidade de digitar nada no dispositivo, por exemplo.
Para o mundo à sua volta, o ES File Explorer fornece suporte
aos protocolos FTP, SFTP, FTPS, WebDAV, e CIFS. Caso sua in-tenção seja armazenar os dados na nuvem, poderá utilizar a co-nexão nativa do aplicativo com o Dropbox, SkyDrive, GDrive e Amazon S3, entre outros. Para ambientes heterogêneos em particular, a implementação de NFS (Network File System) e do protocolo da Apple, AFP (Apple Filling Protocol) são diferenciais raros em dispositivos móveis.
Usuários de iOS que desejam acessar a rede e efetuar ações ou utilizar os mesmos recursos experimentados no Android po-dem utilizar o FileExplorer em sua versão comercial [16], pois
sua versão gratuita (FileExplorer Free [17]) permanece limitada a uma única conexão.
Escaneamento e sniffer de redeOutra boa ferramenta para manter sob controle os dispositivos móveis presentes em sua rede é o versátil Fing [18] (figura 8). Ele funciona em dispositivos Android e iOS e verifica todos os os dispositivos registrados na rede, revelando o nome do host, IP e endereços MAC, e, se possível, o fabricante do dispositivo e seu respectivo modelo. A concisa lista de resultados pode ajudá-lo a de-terminar rapidamente o endereço IP de um dispositivo esquecido ou checar se o dispositivo está online e em seguida, descobrir qual en-dereço DHCP foi designado a ele pelo servidor. As listas de disposi-tivos podem ser armazenadas no dispositivo ou na nuvem da fabri-cante, a Fingbox, no entanto este recurso só está disponível na versão comercial do aplicativo.
Selecione um item na lista para iniciar uma varredura de porta no respectivo dispositivo. Caso encontre portas ou serviços aber-tos, poderá executar o aplicativo para o serviço imediatamente.
Figura 8 A lista de serviços em execução em um sistema já escaneado, seus deta-lhes e ações que podem ser tomadas.
Figura 9 Gráfico de status de conexões WiFi do WiFi Analyzer.
67Linux Magazine #109 | Março de 2014
Aplicativos sugeridos para usos como esses são o ConnectBot para conexões SSH e AndFTP [19] para o SCP e SFTP. Além disso, a conexão direta via CIFS pode ser facilitada pelo AndSMB [20] que já possui determinados acessos pré-configurados.
Além disso, é possível execu-tar uma série de ferramentas de rede clássicas (por exemplo, Telnet, Ping e Traceroute) contra um host. A capacidade de acordar um sistema usando Wake-on-LAN (WOL) também está disponível. Caso queira acordar um dispositivo que não está em sua lista, poderá fazê-lo através das configurações globais presentes no menu. Este também é o lugar onde poderão ser feitas pesquisas de DNS ou execução de pings e traceroutes contra qualquer computador.
O Fing também é útil como uma ferramenta de segurança. Por exemplo, é possível descobrir se um roteador sem fio possui algum tipo de isolamento (isto é, se os dispositivos podem ver uns aos outros) enquanto estão executando o Fing. Se for possí-vel ver outros sistemas e serviços,
somente transfira dados sem criptografia após uma cuidado-sa consideração dos problemas decorrentes disso.
Analisador de conexões WifiOs administradores que não estão muito interessados em explorar dispositivos presentes em sua própria rede mas estão muito interessados em explorar as co-nexões sem fio à sua volta, devem conhecer o Wifi Analyzer [21].
A ferramenta é muito intuitiva, o que é adequado mesmo para os não-especialistas e examina todas as conexões sem fio e redes sem fio encontradas na faixa de cober-tura do dispositivo e as apresenta em uma tela em formato de grá-fico separada por cores (figura 9), o que pode ser útil para analisar problemas de recepção de sinal ou mesmo para o planejamento da criação de novas redes sem fio.
O gráfico mostra a potência do sinal do ponto de acesso em tempo real e sua apresentação em cores varia de verde (forte), para amarelo (média) e por fim para cinza (fraca). Caso o áudio do dispositivo este-ja ativado, o aplicativo pode ser usado como um contador Geiger e fornecer feedback acústico para o usuário em relação à qualidade da recepção do sinal.
Análise da interferênciaA avaliação de canais também per-mite operar sua própria rede sem fio sob a forma de um canal que seja tão livre quanto possível de interferências. Este processo avalia o os canais individuais mostrando asteriscos que ajudam a determi-nar o canal menos frequentado, o que é definitivamente um desafio em áreas densamente povoadas.
A lista de AP, que é projetada mais para usuários tecnicamente interessados ou para depuração avançada, fornece os nomes das redes individuais, canais usados, freqüências, tipo de criptografia e intensidade do sinal – e até mesmo os detalhes de múltiplos pontos de acesso disponíveis que compartilham do mesmo ESSID.
Apple: sem sniffersNo iOS, a escolha de aplicativos deteriorou-se significativamen-te desde que a Apple começou a remover sistematicamente os sniffers de sua App Store em me-ados de 2010. O motivo? Sniffers constam como aplicativos “não autorizados”, são classificados como "estruturas privadas para espionar acesso e dados de redes sem fio" . Trocando em miúdos, trocam arquivos e informações diretamente, ao invés de utilizar as chamadas de biblioteca reque-ridas pela Apple.
No entanto, os aplicativos que possuem redes Wifi em seu ban-co de dados próprio ainda são permitidos; o que é um conceito de pouca utilidade para explorar redes sem fio em seu bairro.
A única solução aqui é um jail-break e um pequeno desvio para o aplicativo Cydia, que oferece uma vasta seleção de sniffers.
Os administradores devem de-cidir por eles mesmos se o acesso root será uma alternativa, muitos especialistas em segurança acon-selham essa abordagem, citan-do o lema "se é possível, fazê-lo você mesmo ao invés de deixar para um hacker fazer, faça". No entanto, esta questão é um im-portante ponto para um debate acalorado entre os consultores de segurança.
Caso esteja pouco preocupado com dispositivos, mas quer ter o panorama geral da rede, normal-
Figura 10 O zAnti efetua escaneamen-tos de redes locais em busca de vulne-rabilidades.
68 www.linuxmagazine.com.br
mente já encontraria solução no pacote de monitoramento Nagios ou Icinga. Aplicativos de harmo-nização e interfaces web estão disponíveis para ambos sistemas (Android e iOS), ajudando assim os administradores a manterem o controle de todos os seus siste-mas críticos em uma tela peque-na. O site do Nagios fornece até mesmo nomes para um grande número de interfaces móveis [22].
ConclusãoSmartphones e tablets com An-droid e iOS têm avançado nos úl-timos anos para que, se tornem cada vez mais em úteis alternati-
vas para administradores quando se trata de dar uma rápida olhada em um sistema supervisionado.
Apesar de deficiências graves de segurança, estes aplicativos perde-ram sua reputação duvidosa como ferramentas de administração. Uma ampla seleção de aplicativos para fazer virtualmente praticamente qualquer coisa relacionada a mo-nitoramento de redes, gestão ou escaneamento transforma estes dispositivos móveis em ferramentas importantes para administradores mesmo sem permissões de root no dispositivo (quadro 1).
Na mochila do administra-dor móvel, dispositivos como
tablets e smartphones são mui-to mais bem vindos e significa-tivamente mais leves do que laptops ou um PC em cima da mesa. Entretanto, para as sessões mais longas, não faz mal ter um laptop à mão e em último caso, pelo menos um teclado Bluetooth para ajudar no trabalho. Tudo é questão de escolha (ou de necessidade). n
Quadro 1: Mais diversão com privilégios de rootNenhum dos aplicativos presentes neste artigo precisa de permissões de root para funcionar. Contudo, quanto mais per-missões possuir o usuário, mais aplicativos úteis e interessantes poderão ser utilizados como a ferramenta de segurança de rede WiFinspect [23]. Uma verificação de rede é executada em um ritmo mais lento do que com o Fing, mas a ferra-menta também verifica a existência de computadores com vulnerabilidades de sniffing tráfego de rede em formato Pcap. Internamente, os administradores usam ferramentas bem mais conhecidas como Nmap ou tcpdump. A página das Funções Gerais do aplicativo na Play Store do Google, exibe uma lista de outros recursos como a capacidade para testar os pontos de acesso e proteger as senhas padrão. Também atraente para administradores de sistema conscientes, os scanners de vulnerabilidade tais como o aplicativo de teste de invasão Zanti [24] (figura 10) ou ferramentas forenses como o analisador de volatilidade de memória RAM, LiME [25] também fazem parte do arsenal do administrador de redes. A maioria dessas ferramentas apenas atinge todo o seu potencial com privilégios de root.
Mais informações[1] Conecte seu smartphone via VPN VPN: http://www.techrepublic.com/blog/smartphones/securely‐connect‐your‐android‐smartphone‐via‐vpn/[2] iOS: configuração de VPN: http://support.apple.com/kb/ht1424[3] ConnectBot: https://code.google.com/p/connectbot/[4] KeePassDroid: https://play.google.com/store/apps/details?id=com.</sup>​android.keepass[5] android-xserver: https://play.google.com/store/apps/details?id=au.com.darkside[6] Hackers Keyboard: https://code.google.com/p/hackerskeyboard/[7] Console Apple: http://www.zinger‐soft.com/iSSH_features.html[8] PocketCloud: http://www.pocketcloud.com/remotedesktop#​tab‐video[9] 2X Client: https://play.google.com/store/apps/details?id=com.tux.client&hl=en[10] Mocha VNC Lite: https://itunes.apple.com/us/app/mocha‐vnc‐lite/id284984448?mt=8, https://​play.google.com/store/apps/details?id=dk.mochsoft.vnc&hl=en[11] NX chroot: http://www.nerdenmeister.org/2012/11/07/nx‐on‐android/36[12] NoMachine: http://www.nomachine.​com/download[13] TeamViewer: http://www.teamviewer.com/en/download/[14] Cura-SysAdmin: https://play.google.com/store/apps/details?id=com.​cura[15] ES File Explorer: https://play.google.com/store/apps/details?id=com.estrongs.android.​pop[16] FileExplorer: https://itunes.apple.com/us/app/fileexplorer/id499470113?mt=8[17] FileExplorer Free: https://itunes.apple.com/us/app/fileexplorer‐free/id510282524?t=8[18] Fing: http://www.overlooksoft.​com/fing[19] AndFTP: https://​play.google.​com/store/apps/details?id=lysesoft.andftp[20] AndSMB: https://play.google.com/store/apps/details?id=lysesoft.andsmb[21] Wifi Analyzer: https://play.google.com/store/apps/details?id=com.farproc.wifi.analyzer[22] Nagios/Icinga mobile: http://​www.​nagios.org/download/​frontends[23] WiFinspect: https://​play.google.com/store/apps/details?id=uk.co.opticiancms.wifiprobe[24] zAnti: http://zantiapp.com/​anti.html[25] Análise forense no Android com LiME: http://www.​youtube.com/watch?​v=Khnas55TV0w
Gostou do artigo?Queremos ouvir sua opinião. Fale conosco em: [email protected] artigo no nosso site: http://lnm.com.br/article/9103