Um fato, no mínimo inusitado, ocorreu nos últimos dias, por algum motivo ainda não conhecido, um código malicioso estava sendo distribuído junto a um software da empresa Energizer. Esse software é responsável por monitorar o nível de carga do equipamento Energizer DUO para a plataforma Microsoft Windows.
Para quem não conhece, o Proftpd é um software responsável pelo serviço de FTP. Talvez um dos mais usados no ambiente Gnu/Linux.
Para instalar e começar usar o Proftpd é muito fácil, mas o que poucos sabem é que a sua configuração padrão, assim como em qualquer outro serviço, é focada apenas para experimentação, ou seja, em um ambiente de produção ele deve ser customizado, seja de acordo a carga de utilização de seu ambiente ou a sua segurança.
Irei tratar hoje sobre alguns aspectos de segurança desse serviço, que com pequenas alterações são resolvidos.
Todos as configurações explicadas abaixo serão encontradas no arquivo do proftpd, que geralmente está localizado em /etc/proftpd/proftpd.conf
- Evitar Footprinting
Footprinting é o processo de obter informações do alvo, antes de iniciar um ataque, sendo assim vamos dificultar essa coleta de informações adicionando a seguinte linha:
ServerIdent Off
- Tentativas de login
Para evitar que o invasor efetue a quantidade necessária de tentativas para “adivinhar” sua senha, adicione a seguinte linha no seu arquivo de configuração:
MaxLoginAttempts 3
- Inibir
O que poucas pessoas sabem é, que as vezes uma medida simples pode ter um retorno interessante.
As vezes um alerta antes de uma tentativa de acesso indevido é o bastante para afastar alguns tipos de invasores, ou ao menos deixá-los avisados que aquele servidor foi alvo de uma modificação com foco em segurança.
Crie dois arquivos em seu servidor, em um dos arquivos coloque um texto a ser exibido antes do usuário tentar efetuar logon e outro para após.
O texto que será exibido antes, deve conter um texto sério, que tem como objetivo demonstrar a seriedade da organização que hospeda o serviço e quais as implicações o invasor terá caso ele apenas tente efetuar uma invasão, ele ao menos pensará um pouco mais antes de iniciar um ataque para aquele ativo.
Para a mensagem que ficará antes do acesso adicione a seguinte linha:
DisplayConnect /home/ftp/texto_antes.msg
Para a mensagem que ficará depois, adicione a seguinte linha:
DisplayLogin /home/ftp/texto_depois.msg
Basicamente, essas são as medidas mais simples a serem tomadas com seu servidor FTP, que em minha opinião farão uma enorme diferença na utilização do seu serviço.
Existem outras medidas que podem ser aplicadas em sua configuração, mas como algumas delas divergem quanto ao fim devido do serviço, preferi me manter no básico.
Caso tenha mais alguma sugestão, pode comentar, atualizarei o post caso necessário.
Até a próxima!
Filed Under (Security) by rafaelgomes on 06-02-2010
Como muitos devem saber, o scanning de portas UDP funciona de forma distinta do TCP, pois tendo em vista que esse protocolo não é orientado a conexão, é necessário que haja algum tipo de interação entre o scanner e seu alvo.
Normalmente o Nmap funcionava da seguinte forma:
Caso uma porta não estivesse aberta, o alvo retorna um pacote ICMP (tipo 3, Código 3), sendo assim o Nmap entendia que aquela porta estava fechada, caso não houvesse resposta, algum tipo de firewall pode estar bloqueando a comunicação e assim o Nmap retornava da seguinte forma:
# nmap -sU -p123 192.168.122.254
Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-28 13:17 Eastern Standard Time
Interesting ports on 192.168.122.254:
PORT STATE SERVICE
123/udp open|filtered ntp
MAC Address: 00:17:0E:0C:B7:61 (Cisco Systems)Nmap done: 1 IP address (1 host up) scanned in 1.91 seconds
Para essa checagem é enviado um pacote não válido como requisição padrão, nesse caso o NTP.
Filed Under (Hardening, Security, colaboração, hntool) by rafaelgomes on 09-01-2010
Como já expliquei nesse post, fui convidado por meu amigo Hugo a participar desse projeto de criação de uma ferramenta para hardening de servidores unix, na linguagem python.
Hugo Doria, o seu criador, fez um post em seu blog muito interessante, que explica bastante sobre a ferramenta em termos práticos.
Filed Under (Security, software livre) by rafaelgomes on 21-11-2009
Em muitas empresas é comum utilizar produtos prontos em caixas, que têm interface web de fácil manipulação, tudo isso por um preço bem atrativo.
Na maioria dessas caixas, os fornecedores apenas criam a interface, sendo que o produto em si é um conjunto de softwares de mercado, na maioria dos casos sob a licença open source. Sendo assim o que temos é uma configuração realizada pelo fornecedor para integrar os mesmos, criando um único sistema.
Filed Under (Hardening, Security, software livre) by rafaelgomes on 20-11-2009
Com a descoberta da falha de renegociação em tráfego criptografado com SSL, e seus derivados, muitos dos serviços que utilizam esse protocolo ficaram também vulneráveis, pois como é uma falha no processo da comunicação cifrada, não há muito o que ser feito, a não ser corrigir o protocolo utilizado.
Para maiores detalhes sobre a falha da renegociação, veja esse link.
O Openvpn, que é um dos serviços que utilizam o OpenSSL, um dos derivados do SSL, lança hoje sua nova versão (2.1_rc22), com duas importantes mudanças:
Sim, essa informação é assustadora, porém é um momento para reflexão. Estamos realmente nos preocupando com esse assunto?
De acordo com a NTA Monitor, a cada três websites que estão hospedados na internet um apresenta falhas graves de segurança em seu código. Dais quais podem ser exploradas por diversas técnicas de ataques.
Falando em técnicas de ataque, você sabe o que é SQL Injection? Não! Se você é o responsável pela segurança da sua empresa, deveria saber.
É um absurdo como boa parte das empresas de TI ou não ainda não se preocupam com a segurança dos seus dados em trânsito.
Um dos grandes exemplos que povoou a mídia no ano passado foi o roubo do notebook da Petrobrás. A empresa não informou detalhes do problema de segurança, mas alguns acreditam que informações valiosas poderiam ser furtadas naquele episódio.
Veja que o maior problema nesse caso não é o custo do equipamento, e sim o sigilo da informação contida no mesmo. Algo que poderia valer mais do que um lote inteiro do notebook roubado.
Filed Under (Proxy, Security, Squid, software livre) by rafaelgomes on 06-10-2008
Na lista Squid-BR surgiu a duvida sobre a melhor solução para criar um proxy “parrudo”, já que tem uma maquina robusta, acreditei que ele desejava ouvir alguns conselhos. Sendo assim comecei a opinar.
Baseado em conhecimentos simples de RAID, aconselhei que utilizasse Software RAID 0, achei que pelo fato de ser varias cabeças trabalhando “ao mesmo tempo” o desempenho seria melhor. Isso seria verdade se o Squid trabalhasse de forma mais inteligente, pois atualmente com uma unica requisição, as cabeças do hd não trabalharia ao mesmo tempo e assim todo a vantagem dessa solução seria desperdiçada, sem contar que o fator confiança conta nesse ponto, pois um problema em um dos hds comrromperia todo sistama, isso no caso de uma única unidade lógica.
Assim irei resumi algumas informações que me foram passadas na lista oficial dos usuários Squid:
Para você que passa por algum problema no seu Proxy Squid e não sabe como diagnosticar. Seus problemas acabaram, o Cachemgr vai lhe proporcionar toda a informação que precisa para resolver sua demanda.
Se você usa CentOS 5.1 e instalou o Squid via yum, fique tranquilo. A sua configuração já está quase ok, faltará apenas alguns ajustes! 