Port forwarding – Redirecionamento de porta

Se tem alguma coisa que me deixa puto da vida é ir em algum fórum ou canal de irc porque preciso saber uma coisa básica mas em caráter de emergência e um filho de mãe me responde com um link para um bíblia sobre determinado assunto.

Certo dia eu estava precisando fazer uma manobra bem simples, que era redirecionar a porta de um servidor web que está direto na internet para outro na rede interna. Era algo simples, sei! Mas sobre pressão de ter um prazo para fazê-lo sem precisar ler uma Bíblia do Iptables que um infeliz me indicou pelo IRC com todo aquele ar de arrogância, segue a dica:

Servidor conectado direto na internet: SERVIDOR A 192.168.1.1
Servidor interno que vai responder requisição do servidor citado a cima é o: SERVIDOR B 192.168.1.2
Isso é só um exemplo, vamos ser pragmáticos!

1	#!/bin/bash

2	# Redireciona uma faixa de portas para um micro da rede local:

3	echo 1 > /proc/sys/net/ipv4/ip_forward

4	iptables -t nat -A PREROUTING --proto tcp -i eth1 --dport 81 -j DNAT --to 192.168.1.2:80

5	iptables -t nat -A POSTROUTING -d 192.168.1.2 -j SNAT --to 192.168.1.1

A primeira linha habilita o encaminhamento de pacotes.
A segunda faz o servidor o servidor 192.168.1.1 (esse é o ip dele na rede interna, e é nele que esse script deve ser executado) passa a solicitação que ele recebeu na porta 81 pro servidor 192.168.1.2 na porta 80.
A terceira faz com que o que recebeu a solicitação possa responder.

É algo mais ou menos assim, o Servidor A é o garoto de recados do Servidor B que fica escondidinho na rede interna.
Se você achou a dica muito besta, pode rir a vontade, mas eu apanhei pra caramba pra fazê-la. Eu espero que ajude alguma alma que sofreu muito pra achar algo claro de se entender.

Fonte: Software Livre AC

-15.325912 -49.117288

Monitore seu servidor com o Tripwire

Há um ditado nos círculos de segurança em computadores de que a única forma de realmente proteger um computador é desconectá-lo completamente e trancá-lo em uma caixa. Não tão simples, mas a mensagem subjacente é que se um hacker realmente quiser invadir um sistema, é provável que ele encontrará uma maneira. Após executar as etapas em direção à prevenção da intrusão, você precisa configurar um sistema de monitoramento para detectar se um ataque contra o seu servidor foi estabelecido. Em seguida, se você for alertado sobre um ataque, é melhor preparar-se para lidar com ele antecipadamente.

As seguintes seções percorrem as etapas da instalação e da configuração de dois programas que ajudam a detectar intrusões. O Tripwire o alerta sobre atividades não-autorizadas que ocorrem com arquivos de sistema no seu servidor e o Logwatch é uma ferramenta que pode ser utilizada para criar relatórios para você analisar.

O Tripwire é um programa que configura uma linha de base de binários normais do sistema para o seu computador. Ele, então, relata quaisquer anomalias junto a esta linha de base através de um alerta por e-mail ou através de um log. Essencialmente, se os binários do sistema tiverem sido alterados, você saberá sobre isso. Se uma instalação legítima causar uma alteração dessas, não há nenhum problema. Mas se os binários forem alterados como um resultado de um cavalo de Tróia ou rootkit sendo instalado, tem um ponto inicial a partir do qual pesquisar o ataque e corrigir os problemas.

Para instalar e configurar o Tripwire através da linha de comando, siga estas etapas:

1. Insira o seguinte comando:

1	# aptitude install tripwire

1. Pressione Enter e digite sua senha. O Tripwire é transferido por download e instalado.
2. Uma tela de configuração é apresentada conforme mostrado na Figura 1.

1. Esta tela informa aos usuários dos sistemas baseados no Debian sobre um cenário potencial no qual um hacker pode obter a passphrase utilizada com o Tripwire enquanto ele não está criptografado. Usuários avançados podem optar por parar aqui e criar a chave do site e os arquivos de configuração por conta própria. Iniciantes devem selecionar OK e continuar.
2. A próxima tela pergunta se você deseja criar sua passphrase durante a instalação. Selecione Sim e pressione Enter.
3. A próxima tela informa sobre como o Tripwire funciona. O programa cria um arquivo de texto que armazena um banco de dados criptografado da configuração dos sistemas. Este arquivo de texto é a linha de base. Se alguma alteração for feita na configuração do sistema, o Tripwire visualiza a alteração e cria um alerta. Para fazer alterações legítimas no sistema, você pode criar uma passphrase. Selecione Sim e pressione Enter para iniciar a criação do arquivo de configuração.
4. A tela a seguir explica a mesma coisa, mas desta vez você estará criando um arquivo de política do Tripwire. Novamente, selecione Sim e pressione Enter.
5. Assim que os arquivos tiverem sido criados, você será solicitado a digitar a passphrase chave do site. É necessário lembrar-se desta passphrase. Selecione OK e, então, pressione Enter. Sua passphrase será solicitada novamente na próxima tela.
6. Você será levado até a tela da passphrase local. Esta passphrase é necessária para os arquivos locais no servidor. Insira sua passphrase local, selecione OK e, então, pressione Enter. Também é necessário digitar novamente esta senha.
7. Agora que o Tripwire foi instalado, você é informado sobre o local do banco de dados e dos binários. Com o OKselecionado, pressione Enter novamente para concluir o processo de configuração.

Você pode executar a inicialização do banco de dados digitando:

1	# tripwire --init

Pressione Enter. Você também será solicitado a fornecer a passphrase local criada durante a instalação do Tripwire. Forneça a passphrase e, novamente, pressione Enter. Agora, o Tripwire criou a captura instantânea da linha de base do seu sistema de arquivos. Esta linha de base será utilizada para verificar se há alterações nos arquivos críticos. Se uma alteração deste tipo for detectada, um alerta será enviado.

É possível executar uma verificação de integridade a qualquer momento seguindo estas etapas:

Pressione Enter. Você receberá um relatório que é salvo no diretório de relatórios. Para visualizar este relatório, utilize o comando twprint :

1	#tripwire --check

Pressione Enter e digite a senha sudo . Você receberá um tipo diferente do prompt que tem a seguinte aparência:

1

>

Neste prompt, digite o local e o nome do arquivo do relatório que deseja imprimir:

1	> /var/lib/tripwire/report/nome-do-server-YYYYMMDD-HHMMSS.twr| less

Se você não souber o horário exato que executou seu relatório, navegue até o diretório /var/lib/tripwire/reports para visualizar o nome completo do arquivo.

À medida que suas habilidades se desenvolvem, você pode consultar o twadmin para aprimorar ainda mais os recursos do Tripwire. Também é possível configurar uma tarefa no cron para enviar a você uma cópia por e-mail deste relatório a cada dia ou configurar o Tripwire para enviar a você um e-mail se uma anomalia for relatada.

O Logwatch é uma excelente ferramenta para monitorar os arquivos de log do seu sistema. Este programa requer um servidor de e-mail em funcionamento em sua rede para enviar os logs por e-mail para você. Se desejar alterar o arquivo .conf, você precisa abrir /usr/share/logwatch/default.conf/logwatch.conf e consultar a linha onde se lê MailTo. Altere user.name.domain.tld para o seu endereço de e-mail.

Você pode instalar o Logwatch com este comando:

1	# aptitude install logwatch

Para enviar os logs por e-mail para você mesmo, digite:

1	# logwatch --mailto seu-email.arroba.dominio.com --range All

Pressionar Enter envia uma cópia do relatório para o endereço de e-mail especificado. Se você não estiver executando um servidor de e-mail em sua rede mas ainda desejar visualizar um relatório do Logwatch, o seguinte comando o fornece na tela:

1	# logwatch --range All --archives --detail Med

A saída possui várias telas; pressione Shift-Page Up para mover para o início do relatório.

Fonte: Software Livre AC

-15.325912 -49.117288

Pentest: NetSecL Linux 3.2

NetSecL é um sistema ao vivo e instalável ​​com base no openSuse, bastante adequado para desktop / servidor e testes de penetração. Uma vez instalado, você pode desfrutar plenamente das características do kernel grsecurity e das ferramentas de pentest ou utilizar essas ferramentas diretamente de seu DVD ao vivo. NetSecL 3,2 vem com um novo ambiente XFCE, que aumentou drasticamente a experiência de desempenho. Muitos bugs foram corrigidos e mais pacotes são compatíveis com OpenSuse 11.4.

A version 3.2 traz a resolução do problema do Ext4 com grsecurity, resolução do grsecurity com VM, novo Metasploit, navegador Firefox 5.0, atualização do repositório Exploit-db, GrSecurity Kernel ( bloqueado a partir do zypper), permitindo que o usuário faça atualizações em todo o sistema, sem se preocupar. Além disso, ele traz todas as ferramentas de pentest, necessárias ao trabalho ao qual se destina.

Saiba Mais:

[1] NetSecL Linux 3.2 http://www.net-security.org/secworld.php?id=11301

Fonte: Under Linux

-15.325912 -49.117288

RootRepeal: Ferramenta de Detecção de Rootkit

RootRepeal é um novo detector de rootkit atualmente em estado beta público. Ele é projetado com os seguintes objetivos em mente: é fácil de utilizar, mesmo um usuário com pouca ou nenhuma experiência com o computador deve ser capaz de usá-lo. A ferramenta também se destaca por ser altamente poderosa, sendo capaz de detectar todos os rootkits publicamente disponíveis.

Além disso, ela apresenta estabilidade, que deve funcionar no maior número de diferentes configurações de sistemas possíveis, e, em caso de incompatibilidade, não travar o computador (host). RootRepeal também é muito seguro, pois ele não vai usar todas as técnicas de rootkit-like para se proteger.

Quem não o conhece, RootRepeal é uma aplicação pequena, portátil e freeware que foi projetado para descobrir rootkits. Esta ferramenta atingiu popularidade como utilitários de segurança como Systernals. Esta é uma ferramenta apenas para usuários avançados que sabem como funcionam o serviços, sistemas e demais ferramentas do Windows.

Saiba Mais:

[1] RootRepeal http://www.pentestit.com/tag/rootrepeal/

Fonte: Under LInux

-15.325912 -49.117288