complementando o post anterior, segue link de um site que testa a segurança da estação verificando se existem portas abertas no mesmo:
https://www.grc.com/x/ne.dll?bh0bkyd2
Outro teste que pode ser realizado é utilizando o nmap a partir de outra estação remota, a fim de fazer uma varredura mais completa e personalizada.
sexta-feira, 12 de fevereiro de 2010
Segurança Básica para desktop com Banda Larga
A banda larga cada vez mais popular e acessível leva ao aumento progressivo de estações na internet com maior possibilidade de invasão, isto devido a despreocupação com a segurança.
O fato de manter o antivirus atualizado não é suficiente, não vou entrar em maiores detalhes no momento, pois a idéia é de sugerir um firewall bem básico que permita aplicação imediata. Melhores práticas serão abordadas futuramente, mas digamos, acabou de instalar seu linux no seu desktop/notebook, ligou na banda larga e que aproveitar para atualizar o sistema, navegar, bater papo etc... mas, enquanto isso, sua máquina pode ter portas abertas para o exterior.
Não faltam desocupados que ficam realizando varreduras para buscar alguém indefeso, seja para roubar dados, ou para outros fins ilícitos. Abaixo segue um pequeno arquivo com regras de firewall que podem ser utilizadas sem maiores problemas, claro que poderão ser feitos melhoramentos, ou ajustes. Mas, serve como material de consulta/discussão:
# Generated by iptables-save v1.4.1.1 on Fri Feb 12 13:04:58 2010
*filter
:INPUT ACCEPT [2773:499649]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [969:81282]
-A INPUT -s ! dns_server_do_provedor -i ppp+ -p udp -m udp --dport 53 -j DROP
-A INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp+ -m state --state INVALID,NEW,UNTRACKED -j DROP
-A INPUT -i ! ppp+ -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp+ -j DROP
COMMIT
# Completed on Fri Feb 12 13:04:58 2010
# Generated by iptables-save v1.4.1.1 on Fri Feb 12 13:04:58 2010
*mangle
:PREROUTING ACCEPT [2358:417158]
:INPUT ACCEPT [2329:414594]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [927:78949]
:POSTROUTING ACCEPT [927:78949]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Feb 12 13:04:58 2010
salve o texto acima em um arquivo, por exemplo: /etc/regras.firewall
Para tornar ativo, execute:
iptables-restore /etc/regras.firewall
Se quiser que seja carregado na inicialização, basta colocar a linha acima no /etc/rc.local (na maioria das distribuições)
Essas regras levam em consideração que sua conexão é direta, via ppp, não por meio de modens roteados. Outro ponto a se observar é que libero apenas para dns_server_do_provedor a entrada de pacotes, pois ao se tentar navegar, realiza-se uma consulta ao dns, que retorna pacotes com a resposta, se bloquearmos, não conseguirá ter resposta e consequentemente não navegará pelos sites.
Esse assunto pode render um tutorial, curso ou mesmo um livro inteiro, sugiro que pesquise a respeito de: dns, portas, serviços de rede, tcp/udp. É bem interessante.
O fato de manter o antivirus atualizado não é suficiente, não vou entrar em maiores detalhes no momento, pois a idéia é de sugerir um firewall bem básico que permita aplicação imediata. Melhores práticas serão abordadas futuramente, mas digamos, acabou de instalar seu linux no seu desktop/notebook, ligou na banda larga e que aproveitar para atualizar o sistema, navegar, bater papo etc... mas, enquanto isso, sua máquina pode ter portas abertas para o exterior.
Não faltam desocupados que ficam realizando varreduras para buscar alguém indefeso, seja para roubar dados, ou para outros fins ilícitos. Abaixo segue um pequeno arquivo com regras de firewall que podem ser utilizadas sem maiores problemas, claro que poderão ser feitos melhoramentos, ou ajustes. Mas, serve como material de consulta/discussão:
# Generated by iptables-save v1.4.1.1 on Fri Feb 12 13:04:58 2010
*filter
:INPUT ACCEPT [2773:499649]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [969:81282]
-A INPUT -s ! dns_server_do_provedor -i ppp+ -p udp -m udp --dport 53 -j DROP
-A INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp+ -m state --state INVALID,NEW,UNTRACKED -j DROP
-A INPUT -i ! ppp+ -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp+ -j DROP
COMMIT
# Completed on Fri Feb 12 13:04:58 2010
# Generated by iptables-save v1.4.1.1 on Fri Feb 12 13:04:58 2010
*mangle
:PREROUTING ACCEPT [2358:417158]
:INPUT ACCEPT [2329:414594]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [927:78949]
:POSTROUTING ACCEPT [927:78949]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Feb 12 13:04:58 2010
salve o texto acima em um arquivo, por exemplo: /etc/regras.firewall
Para tornar ativo, execute:
iptables-restore /etc/regras.firewall
Se quiser que seja carregado na inicialização, basta colocar a linha acima no /etc/rc.local (na maioria das distribuições)
Essas regras levam em consideração que sua conexão é direta, via ppp, não por meio de modens roteados. Outro ponto a se observar é que libero apenas para dns_server_do_provedor a entrada de pacotes, pois ao se tentar navegar, realiza-se uma consulta ao dns, que retorna pacotes com a resposta, se bloquearmos, não conseguirá ter resposta e consequentemente não navegará pelos sites.
Esse assunto pode render um tutorial, curso ou mesmo um livro inteiro, sugiro que pesquise a respeito de: dns, portas, serviços de rede, tcp/udp. É bem interessante.
sexta-feira, 11 de setembro de 2009
Openfire - Servidor local de mensagens instantâneas
Tenho recebido várias mensagens com dúvidas a respeito do Openfire, isso devido ao meu artigo explicando como instalar o mesmo com o cliente Spark. Dando uma passada pelo google encontrei links interessantes que podem ajudar com dúvidas que talvez eu mesmo não tenha conhecimento suficiente sobre determinada ferramenta ou recurso: http://opentecnologia.com/openfire-br/doku.php?id=introducao Lá pode-se ainda se inscrever num grupo de discussão com outros usuários do software http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/openfire-br
Acredito que dessa forma muitas dúvidas sejam sanadas.
Até a próxima
Acredito que dessa forma muitas dúvidas sejam sanadas.
Até a próxima
sexta-feira, 28 de agosto de 2009
Boas Iniciativas
Recentemente fiquei conhecendo um projeto de uma distribuição linux baseada em Debian, a mesma é descompromissada comercialmente, é a idéia de um jovem desenvolvedor que idealiza fornecer à comunidade mais uma opção para usuários sem experiência com linux, uma distribuição fácil.
Acredito que iniciativas como essa é que fazem o Linux o que é hoje e o que vai ser amanhã. A idéia de colaboração e compartilhamento de experiências e conhecimentos permitem que surjam novas idéias e seja difundida a forma de pensar no coletivo.
Nada de demagogia, o fato é que todos que procuram conhecimento recorrem a quê? Hoje praticamente não se usa livros para pesquisa, mas sim os meganismos de busca, principalmente o "pai" google, onde se encontra de tudo. Mas, porque se encontra tanta coisa útil? É exatamente por causa daqueles que investiram alguns minutos ou mesmo grande parte de suas vidas desenvolvendo manuais, ebooks, apostilas etc, para ajudar outras pessoas que tenham problemas semelhantes.
Então o modelo de colaboração difundido pelas comunidades de software livre permitiram grande parte do desenvolvimento de bases de conhecimento hoje existente. Nada, ou quase nada feito em troca de ganhos financeiros, mas apenas a oportunidade de compartilhar.
O projeto que mencionei incialmente é o FoxyLinux, visitem a página para fazer um download do LiveCD e tenham suas próprias impressões.
http://www.foxylinux.com/site/
quinta-feira, 20 de agosto de 2009
Guerra de Buscadores - Bing e outros
Lendo a notícia da TI Inside (http://www.tiinside.com.br), vi as estatísticas relativas ao crescimento do uso do Bing, da Microsoft. No entanto, não se comenta ou não se repara que a Microsoft propositalmente altera no seu navegador Internet Explorer o buscador padrão para o seu tal Bing, sendo assim o usuário desavisado que usa o Windows, ao fazer uma busca inocente acaba ajudando no aumento de suas estatísticas de acesso, e o pior, não retorna os resultados esperados.
Sendo desta forma, ainda muito inferior ao Google. É certo que o I.E dá a opção de alterar essa opção de buscador padrão, mas para o usuário leigo torna-se algo meio pertubador. Sou a favor de que haja uma barra de ferramentas com os principais buscadores, ou mesmo no momento de digitação de uma busca ele pergunte qual o mecanismo de busca o usuário deseja utilizar.
Quem quiser ler a notícia, segue o link: http://www.tiinside.com.br/News.aspx?ID=143356&C=265
Até a próxima.
domingo, 9 de agosto de 2009
Debian: o Debian Day
Bem, não estou ganhando nada com isso (R$), apenas divulgo eventos que acho que são interessantes e que podem contribuir positivamente para o Linux e para a comunidade. No dia 15 de agosto de 2009 ocorrerá o Debian Day, participe. Inscrições e maiores informações no site:
sexta-feira, 3 de julho de 2009
Existe esperança, continuação....
Mais uma barreira derrubada. Algo que dificultava a massificação de uso do linux em nossas estações era o fato de necessitar do acesso remoto para suporte ao usuário. Em ambiente console dificulta bastante, pois não visualiza a mesma tela de sistema que o usuário está no momento. No entanto, em ambiente gráfico facilita, o problema: como fazer. Em estações windows é comum o uso de vnc, radmin e outros. Enquanto no linux pesquisei bastante, vi opções relacionadas ao X, outra usava a ferramenta freenx, etc.. mas nenhuma atendia às necessidades, principalmente no quesito velocidade de acesso.
Como comentei no post anterior, adotei a distruibuição Ubuntu 9.04 como foco da migração, apenas adaptando os softwares de acordo com nossa realidade inclusive o visual do desktop e itens de menu. Após pesquisar sobre vnc e ubuntu, encontrei a solução que estava diante de mim o tempo inteiro e não sabia, o aplicativo "vino" é simplesmente o vnc do linux. Basta executar no console como usuário (no ambiente gráfico): vino-preferences, habilitar as duas primeiras opções, desmarcar a opção que solicita confirmação para cada acesso, mascar a opção de solicitar senha, indicando previamente qual a senha a ser digitada. Em seguida fechar. É o sufiente para habilitar o acesso vnc à estação linux, e precisa apenas uma vez esse processo, pois fica configurado para toda vez que o usuário em questão se logar.
A velocidade de acesso é semelhante ao acesso a qualquer máquina windows. Em comparação ao FreeNx, achei muito mais rápido o vino, o FreeNX demora a autenticar, já que usa o ssh, e além disso realiza compactação durante a transmissão da imagem da tela remota, nisso acarreta em demora na utilização, não me aprofundei nesta ferramenta já que o vino me atendeu perfeitamente, quem achar o freenx melhor, então demonstre uma forma de otimização para uso em redes rápidas e lentas, pois não basta usar na rede local.
Fico por aqui, em breve postarei novidades da migração.
Como comentei no post anterior, adotei a distruibuição Ubuntu 9.04 como foco da migração, apenas adaptando os softwares de acordo com nossa realidade inclusive o visual do desktop e itens de menu. Após pesquisar sobre vnc e ubuntu, encontrei a solução que estava diante de mim o tempo inteiro e não sabia, o aplicativo "vino" é simplesmente o vnc do linux. Basta executar no console como usuário (no ambiente gráfico): vino-preferences, habilitar as duas primeiras opções, desmarcar a opção que solicita confirmação para cada acesso, mascar a opção de solicitar senha, indicando previamente qual a senha a ser digitada. Em seguida fechar. É o sufiente para habilitar o acesso vnc à estação linux, e precisa apenas uma vez esse processo, pois fica configurado para toda vez que o usuário em questão se logar.
A velocidade de acesso é semelhante ao acesso a qualquer máquina windows. Em comparação ao FreeNx, achei muito mais rápido o vino, o FreeNX demora a autenticar, já que usa o ssh, e além disso realiza compactação durante a transmissão da imagem da tela remota, nisso acarreta em demora na utilização, não me aprofundei nesta ferramenta já que o vino me atendeu perfeitamente, quem achar o freenx melhor, então demonstre uma forma de otimização para uso em redes rápidas e lentas, pois não basta usar na rede local.
Fico por aqui, em breve postarei novidades da migração.
quarta-feira, 10 de junho de 2009
Existe esperança....
Depois de penar durante algum tempo buscando adaptar uma solução baseada em Linux às necessidades do dia-a-dia, finalmente encontramos um formato ideal. Há quem diga, que Linux é o melhor pra tudo e para todos, é o remédio até pra pancada. Não é bem assim, antes de se fazer uma migração deve-se analisar os prós e contras, com bastante cautela analisar os setores que podem ou não migrar, de acordo com o perfil de aplicações.
Hoje na empresa que trabalho já venho há algum tempo utilizando linux em equipamentos de vendas, onde precisa-se apenas utilizar o sistema da empresa por meio de acesso remoto e um comunicador instantâneo. Mas, outros setores tinham que morrer usando windows.
Iniciei há poucos dias uma migração que pretende ser completa, após ter finalmente adaptado uma de nossas aplicações que dependia de simplesmente do mapeamento de teclas de função que sempre causavam transtorno. Hoje com o uso do wine, possibilitou fazer o que faltava. Algumas aplicações próprias que eram desenvolvidas em delphi precisavam do windows instalado para funcionar, agora não precisamos mais, a independência tornou-se uma realidade.
Na imagem acima um netbook da asus utilizando conexão a internet via bluetooth por meio do celular. Alguém com certeza dirá que é inviável diante do atual 3g, mas a aplicação não necessita de um custo deste tipo. Para se ter idéia, utilizando linux deixa-se de pagar licença do próprio windows, do antivirus e de algum possível pacote de editoração. Sem falar que a conexão fica mais rápida, pois não precisa ficar atualizando antivirus comendo banda da rede.
Publicarei outras experiências interessantes durante essa migração, que acredito ser uma grande oportunidade de aplicação de conhecimentos e uma forma de aprender mais.
Assinar:
Postagens (Atom)