Monitore conversas do MSN (IMSniff)

14 03 2008

Não vou entrar nos méritos se isso é correto ou não, apenas digo que como sysadmin tenho que prezar pelas informações que trafegam pela minha rede.

Site do projeto: http://sourceforge.net/projects/im-snif

criar diretorio /etc/imsniff:
mkdir /etc/imsniff; cd /etc/imsniff

criar diretório de logs:
mkdir -p /var/log/imsniff/{debug/,conversas/}

baixar o programa:
wget http://ufpr.dl.sourceforge.net/sourceforge/im-snif/imsniff_0.04.tgz

descompactar arquivo:
tar -xvzf imsniff_0.04.tgz

Instalar:
cd imsniff/linux; sh build

Copiar arquivo de configuração:
cp imsniff/doc/imsniff.conf.sample /etc/imsniff.conf

Editar o arquivo de configuração, onde:
daemonize = 0
promisc = 0
verbose = 2
chatdir = /var/log/imsniff/conversas # diretorio onde as conversas serão armazenadas.
debugdir = /var/log/imsniff/debug # diretório onde serão asmazenados logs do programa
interface eth0 # é a interface da rede interna.

Para executar o programa: ./imsniff eth0 &

A versão 0.04 está com um bug que o serviço fica instável. A solução que encontrei foi deixar o inittab gerenciá-lo.
Para isso, adicione a seguinte linha ao final do etc/inittab:
ims:2:respawn:/etc/imsniff/linux/imsniff
Atente para o runlevel do default seu sistema. No caso do Debian é o 2.


Comentários : Nenhum comentário »
Tags : , , , , ,
Categorias : Linux, Segurança

netfilter/iptables turbinado com layer7

13 02 2008

Layer7 é um excelente plugin para o netfilter/iptables que trabalha na camada de aplicação, dando maior flexibilidade ao firewall. Este é um tutorial para aplicação do patch no kernel e no iptables.

baixar fontes do kernel (http://kernel.org)

baixar fontes do layer7 e os protocolos (http://sourceforge.net/projects/l7-filter)

baixar fontes do iptables (http://www.netfilter.org)
ftp://ftp.netfilter.org/pub/iptables/

descompactar kernel em /usr/src
descompactar layer7 e protocolos em /usr/src/layer7

aplicar patch do layer7:
cd /usr/src/linux
patch -p1 < /usr/src/layer7/netfilter-layer7-v2.9/kernel-2.6.18-2.6.19-layer7-2.9.patch

configurar o kernel: make menuconfig

habilitar as opções: (copiado descaradamente do blog do César Domingos)
Networking –>
Networking options –>
[*] Network packet filtering framework (Netfilter) –>
[*] Bridged IP/ARP packets filtering
Core Netfilter Configuration —>
<M> Netfilter netlink interface
<M> Netfilter NFQUEUE over NFNETLINK interface
<M> Netfilter LOG over NFNETLINK interface
<M> Netfilter connection tracking support
-*- Connection tracking flow accounting
-*- Connection mark tracking support
[*] Connection tracking security mark support
[*] Connection tracking events (EXPERIMENTAL)
<M> SCTP protocol connection tracking support (EXPERIMENTAL)
<M> UDP-Lite protocol connection tracking support (EXPERIMENTAL)
<M> Amanda backup protocol support
<M> FTP protocol support
<M> H.323 protocol support (EXPERIMENTAL)
<M> IRC protocol support
<M> NetBIOS name service protocol support (EXPERIMENTAL)
<M> PPtP protocol support
<M> SANE protocol support (EXPERIMENTAL)
<M> SIP protocol support (EXPERIMENTAL)
<M> TFTP protocol support
<M> Connection tracking netlink interface (EXPERIMENTAL)
{M} Netfilter Xtables support (required for ip_tables)
<M> “CLASSIFY” target support
<M> “CONNMARK” target support
<M> “DSCP” target support
<M> “MARK” target support
<M> “NFQUEUE” target Support
<M> “NFLOG” target support
<M> “NOTRACK” target support
<M> “TRACE” target support
<M> “SECMARK” target support
<M> “CONNSECMARK” target support
<M> “TCPMSS” target support
<M> “comment” match support
<M> “connbytes” per-connection counter match support
<M> “connlimit” match support”
<M> “connmark” connection mark match support
<M> “conntrack” connection tracking match support
<M> “DCCP” protocol match support
<M> “DSCP” match support
<M> “ESP” match support
<M> “helper” match support
<M> “length” match support
<M> “limit” match support
<M> “mac” address match support
<M> “mark” match support
<M> IPsec “policy” match support
<M> Multiple port match support
<M> “physdev” match support
<M> “pkttype” packet type match support
<M> “quota” match support
<M> “realm” match support
<M> “sctp” protocol match support (EXPERIMENTAL)
<M> “state” match support
<M> “layer7″ match support
[ ] Layer 7 debugging output
<M> “statistic” match support
<M> “string” match support
<M> “tcpmss” match support
<M> “time” match support
<M> “u32″ match support
<M> “hashlimit” match support

IP: Netfilter Configuration —>
<M> IPv4 connection tracking support (required for NAT)
…… (Tem mais opções antes)
<M> Full NAT
<M> MASQUERADE target support
<M> REDIRECT target support
<M> NETMAP target support
<M> SAME target support (OBSOLETE)
<M> Basic SNMP-ALG support (EXPERIMENTAL)

Criar pacote .deb para instalar o kernel:
make-kpkg –revision=1 –append-to-version=-hbueno kernel_image

Criar ram drive para não dar pau na inicialização:
make-kpkg –append-to-version=“-hbueno” –initrd –us –uc kernel_image

Instalar o kernel:
dpkg -i linux-image-2.6.23.12-hbueno_1_i386.deb

Reinicie a máquina com o novo kernel

Decompactar fonte do iptables e entrar no diretório descompactado em /usr/src/layer7
Aplicar patch do layer7 no iptables:
patch -p1 < /usr/src/layer7/netfilter-layer7-v2.17/iptables-1.4-for-kernel-2.6.20forward-layer7-2.17.pa
chmod 755 extension/.layer7-test
make KERNEL_DIR=/usr/src/linux
make install KERNEL_DIR=/usr/src/linux

A instalação do layer7 no iptables está finalizada. Vamos agora instalar os protocolos.
cd /usr/src/layer7/l7-protocols-xxxx
make install

Exemplo de regra para testar:
iptables -A FORWARD -m layer7 –l7proto bittorrent -j DROP


Comentários : Nenhum comentário »
Tags : , , , , , ,
Categorias : Debian, Internet, Iptables, Kernel, Linux, Segurança

SPAM - A origem do termo

13 12 2007

Já se perguntou porquê Spam tem esse nome?! Todo mundo sabe que SPAM (em letras maiúsculas) é um alimento feito de carne pré-cozida e enlatada pela empresa Hormel Foods Corporation. Mas qual a relação entre o enlatado e as centenas de propagandas que populam nossas mailboxes?
A verdade é que o termo Spam teve origem neste episódio do seriado Monty Python em 1970.


Comentários : Nenhum comentário »
Tags : , , ,
Categorias : Internet, Postfix, Segurança

Recuperar senha do root

27 11 2007

Já aconteceu com você, nem que foi apenas uma vez, de criar aquela senha enorme com letras, números, caracteres especiais, código morse… e se esquecer dela? Não?!?! pois é, nem eu! (huehuehuhe) mas sempre tem quem esqueça.
E se essa senha for a do root?
Então vou mostrar um modo (existem vários) de alterar a senha do root sem precisar saber a senha atual. Neste exemplo vou demonstrar utilizando o grub no debian (grub porque vem se tornando o padrão por ser mais seguro, e debian pq eu uso debian :p)

Let’s hacking!

Reinicie a máquina.

Quando entrar no grub, selecione a imagem do boot que você utiliza. e tecle “e” para editar.

Selecione a linha do Kernel e tecle “e” para editar a opção.
Agora você está em modo de edição da configuração do grub.
Obs: Estas alterações não serão salvas no arquivo de configuração do grub, servirão apenas para este boot.
Apague tudo que estiver depois da partição do root.
Insira “rw init=/bin/bash”;
Exemplo:
antes:
“kernel /boot/vmlinuz-2.6.18.3 root=/dev/hdb1 ro vga=791″
depois:
“kernel /boot/vmlinuz-2.6.18.3 root=/dev/hdb1 rw init=/bin/bash”

Tecle Enter;
Tecle “b” para bootar com as novas configurações.

O sistema irá iniciar em modo monousuário, não pedirá senha.
Após iniciar basta usar o passwd para escolher a nova senha para o root e reiniciar a máquina… and be happy!


Comentários : 1 Comentário »
Tags : , , , ,
Categorias : Debian, Linux, Segurança

Grampo em e-mails - Caso Cisco

18 10 2007

mailComo já muito divulgado na mídia, o grampo nos e-mails foi fundamental na Operação Persona, da Polícia Federal, na qual a Cisco está envolvida. Muitas pessoas tem dúvida sobre a legalidade desse procedimento. A verdade é que em 24 de Julho de 1996 foi publicada uma lei prevendo a interceptação de mensagens telefônicas ou eletrônicas por ordem judicial.

Tive a oportunidade de assistir a uma palestra sobre Direitos Digitais no FISL deste ano. O palestrante, que é advogado especializado em direitos digitais, deixou claro que o empregador tem todo o direito de ter acesso irrestrito a arquivos e e-mails dos funcionários, visto que são recursos da empresa. O funcionário apenas os utiliza para exercer sua função.

No caso da Cisco, não foi bem o empregador, mas o Governo Federal que exigiu ter acesso aos e-mails de pessoas que estavam sob investigação.

Na edição de hoje do jornal Estadão saiu uma matéria explicando - de uma forma não muito técnica (na verdade nada técnica) - meios que a polícia federal utiliza para grampear e-mails.

Como administro servidores de e-mails, achei a explicação muito superficial, porém quem não é da área ficará satisfeito.

Uma explanação técnica de como funcionam grampos de e-mails fica para um próximo post.

A versão on-line da matéria do Estadão está disponível aqui.


Comentários : Nenhum comentário »

Categorias : Computação, Postfix, Segurança

Sarg - relatório de acessos

26 06 2007

Uma excelente ferramenta para saber se existe abuso no uso da internet na sua rede é o Sarg. Esse programa gera um relatório detalhado de acessos com base nos logs gerados pelo squid.

Site do projeto: http://sarg.sourceforge.net

cd /etc/squid
wget http://prdownloads.sourceforge.net/sarg/sarg-2.2.3.1.tar.gz?download
tar -xvzf sarg-2.2.3.1.tar.gz
mv sarg-2.2.3.1 sarg
mkdir /var/www/relatorios
./configure –enable-sysconfdir=/etc/squid/sarg –enable-htmldir=/var/www/relatorios/
cd sarg
make make install
edite o arquivo sarg.conf
edite o parametro access_log para apontar para seu log do squid (geralmente em /var/log/squid/access.log).

Não devemos nos esquecer de alterar a rotação dos logs no logrotate (/etc/logrotate.d/squid).

Agora basta agendar no cron para rodar o sarg toda semana.
crontab -e
1 0 * * 0 sarg

That’s all…


Comentários : Nenhum comentário »
Tags : , , ,
Categorias : Segurança, Squid