Configurando logcheck

Este tutorial foi escrito com o intuito de ajudar os administradores de
sistema a fazerem a auditoria dos logs do sistema , pe?a chave para a
seguran?a de uma rede.

PREVIA SOBRE O LOGCHECK

O logcheck ? um software de auditoria de log para sistemas UNIX . Esse
software desenvolvido pela Psionic Software , analisa e informa atrav?s
do e-mail , o que est? acontecendo no seu sistema , tentado alertar para
uma poss?vel invas?o.
O logcheck ainda pode ser usado para trabalhar junto com o PortSentry ,
um ?timo software IDS (Intrusion Detection System) , ent?o , eu aconselharia
vc instalar e configurar o PortSentry.

Veja os Sistemas que suportam o Logcheck:
? Linux
? SunOS
? Solaris
? HPUX
? Digital OSF/1
? FreeBSD
? BSDI
? OpenBSD
? NetBSD
? Generic (Most variants)

INSTALA??O

A primeira coisa a fazer ? adquirir o software , para isso v? at?
http://www.psionic.com/tools/logcheck-1.1.1.tar.gz ou ent?o procure
no CD-ROM do FreeBSD na parte Security dos packages .
No meu caso , tenho o logcheck no CD-ROM do FreeBSD 4.1.1-Release . Para
instalar o logcheck pelo cd vc pode usar o sysinstall em /stand .

Depois de ter instalado verifique se foi criado os seguintes arquivos , por
padr?o eles ca?ram em /usr/local/etc :

Logcheck.hacking.sample
Logcheck.ignore.sample
Logcheck.sh
Logcheck.violations.ignore.sample
Logcheck.violations.sample

Se todos esses arquivos estiverem forem criados, o software foi instalado
sem problemas.

VEJAMOS O QUE SIGNIFICA CADA UM DESSES ARQUIVOS

Logcheck.hacking ? Este arquivo cont?m keywords que caracterizariam um poss?vel
ataque ao seu sistema , essas keywords geralmente ocorrem quando se ? atacado
por um Port Scanner ou quando se usa sintaxes ilegais no Sendmail.

Logcheck.ignore ? Este arquivo faria quase que o contr?rio do logcheck.hacking,
ele negaria certos alertas , como conex?es com o deamon telnetd.

Logcheck.violations ? Este arquivo cont?m keywords gerados pelo sistema , tanto
negativas como positivas . ex: Denied , Refused.

Logcheck.violations.ignore ? Como o nome j? diz , este ? o arquivo que ignora
certas mensagens geradas pelo sistema

Logcheck.sh ? Esse aqui seria o script de inicializa??o do logcheck.

Eu n?o aconselharia editar esses arquivos , a n?o ser o logcheck.sh , pois
dependendo das regras que voc? adicionar ou retirar , o logcheck pode vir a
dar falsos avisos , o que n?o ? interessante.

Lembre -se de renomear todos os arquivos exceto , o logcheck.sh , retire a parte
.sample dos arquivos , sendo assim eles passaram a fazer parte da configura??o
do logcheck:

mv logcheck.ignore.sample logcheck.ignore
mv logcheck.hacking.sample logcheck.hacking
mv logcheck.violations.ignore.sample logcheck.violations.ignore
mv logcheck.violations.sample logcheck.violations

Feito isso podemos passar para nosso arquivo de configura??o

ARQUIVO DE CONFIGURA??O —– LOGCHECK.SH———

Esse arquivo como j? foi dito , ? o script de inicializa??o do nosso utilit?rio,
na verdade ser?o poucas altera??es que teremos que fazer , colocarei a parte deste
script que teremos que configurar .

——————————logcheck.sh———————–

#!/bin/sh
#
# logcheck.sh: Log file checker
# Written by Craig Rowland
#
# This file needs the program logtail.c to run
#
# This script checks logs for unusual activity and blatant
# attempts at hacking. All items are mailed to administrators
# for review. This script and the logtail.c program are based upon
# the frequentcheck.sh script idea from the Gauntlet(tm) Firewall
# (c)Trusted Information Systems Inc. The original authors are
# Marcus J. Ranum and Fred Avolio.
#
# Default search files are tuned towards the TIS Firewall toolkit
# the TCP Wrapper program. Custom daemons and reporting facilites
# can be accounted for as well…read the rest of the script for
# details.
#
# Version Information
#
# 1.0 9/29/96 — Initial Release
# 1.01 11/01/96 — Added working /tmp directory for symlink protection
# (Thanks Richard Bullington (rbulling@obscure.org)
# 1.1 1/03/97 — Made this script more portable for Sun’s.
# 1/03/97 — Made this script work on HPUX
# 5/14/97 — Added Digital OSF/1 logging support. Big thanks
# to Jay Vassos-Libove for
# his changes.

# CONFIGURATION SECTION

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/ucb:/usr/local/bin

# Logcheck is pre-configured to work on most BSD like systems, however it
# is a rather dumb program and may need some help to work on other
# systems. Please check the following command paths to ensure they are
# correct.

# Person to send log activity to.
SYSADMIN=root

# Full path to logtail program.
# This program is required to run this script and comes with the package.

LOGTAIL=/usr/local/bin/logtail

# Full path to SECURED (non public writable) /tmp directory.
# Prevents Race condition and potential symlink problems. I highly
# recommend you do NOT make this a publically writable/readable directory.
# You would also be well advised to make sure all your system/cron scripts
# use this directory for their “scratch” area.

TMPDIR=/usr/local/etc/tmp

# The ‘grep’ command. This command MUST support the
# ‘-i’ ‘-v’ and ‘-f’ flags!! The GNU grep does this by default (that’s
# good GNUs for you Linux/FreeBSD/BSDI people 🙂 ). The Sun grep I’m told
# does not support these switches, but the ‘egrep’ command does (Thanks
# Jason ). Since grep and egrep are usually the GNU
# variety on most systems (well most Linux, FreeBSD, BSDI, etc) and just
# hard links to each other we’ll just specify egrep here. Change this if
# you get errors.

# Linux, FreeBSD, BSDI, Sun, HPUX, etc.
GREP=egrep

# The ‘mail’ command. Most systems this should be OK to leave as is.
# If your default mail command does not support the ‘-s’ (subject) command
# line switch you will need to change this command one one that does.
# The only system I’ve seen this to be a problem on are HPUX boxes.
# Naturally, the HPUX is so superior to the rest of UNIX OS’s that they
# feel they need to do everything differently to remind the rest that
# they are the best ;).

# Linux, FreeBSD, BSDI, Sun, etc.
MAIL=mail
# HPUX 10.x and others(?)
#MAIL=mailx
# Digital OSF/1, Irix
#MAIL=Mail

# File of known active hacking attack messages to look for.
# Only put messages in here if you are sure they won’t cause
# false alarms. This is a rather generic way of checking for
# malicious activity and can be inaccurate unless you know
# what past hacking activity looks like. The default is to
# look for generic ISS probes (who the hell else looks for
# “WIZ” besides ISS?), and obvious sendmail attacks/probes.

HACKING_FILE=/usr/local/etc/logcheck.hacking

# File of security violation patterns to specifically look for.
# This file should contain keywords of information administrators should
# probably be aware of. May or may not cause false alarms sometimes.
# Generally, anything that is “negative” is put in this file. It may miss
# some items, but these will be caught by the next check. Move suspicious
# items into this file to have them reported regularly.

VIOLATIONS_FILE=/usr/local/etc/logcheck.violations

# File that contains more complete sentences that have keywords from
# the violations file. These keywords are normal and are not cause for
# concern but could cause a false alarm. An example of this is the word
# “refused” which is often reported by sendmail if a message cannot be
# delivered or can be a more serious security violation of a system
# attaching to illegal ports. Obviously you would put the sendmail
# warning as part of this file. Use your judgement before putting words
# in here or you can miss really important events. The default is to leave
# this file with only a couple entries. DO NOT LEAVE THE FILE EMPTY. Some
# grep’s will assume that an EMPTY file means a wildcard and will ignore
# everything! The basic configuration allows for the more frequent sendmail
# error.
#
# Again, be careful what you put in here and DO NOT LEAVE IT EMPTY!

VIOLATIONS_IGNORE_FILE=/usr/local/etc/logcheck.violations.ignore

# This is the name of a file that contains patterns that we should
# ignore if found in a log file. If you have repeated false alarms
# or want specific errors ignored, you should put them in here.
# Once again, be as specific as possible, and go easy on the wildcards

IGNORE_FILE=/usr/local/etc/logcheck.ignore

# The files are reported in the order of hacking, security
# violations, and unusual system events. Notice that this
# script uses the principle of “That which is not explicitely
# ignored is reported” in that the script will report all items
# that you do not tell it to ignore specificially. Be careful
# how you use wildcards in the logcheck.ignore file or you
# may miss important entries.

# Make sure we really did clean up from the last run.
# Also this ensures that people aren’t trying to trick us into
# overwriting files that we aren’t supposed to. This is still a race
# condition, but if you are in a temp directory that does not have
# generic luser access it is not a problem. Do not allow this program
# to write to a generic /tmp directory where others can watch and/or
# create files!!

# Shouldn’t need to touch these…
HOSTNAME=`hostname`
DATE=`date +%m/%d/%y:%H.%M`

umask 077
rm -f $TMPDIR/check.$$ $TMPDIR/checkoutput.$$ $TMPDIR/checkreport.$$
if [ -f $TMPDIR/check.$$ -o -f $TMPDIR/checkoutput.$$ -o -f $TMPDIR
echo “Log files exist in $TMPDIR directory that cannot be removed.
this may be an attempt to spoof the log checker.” \
| $MAIL -s “$HOSTNAME $DATE ACTIVE SYSTEM ATTACK!” $SYSADMIN
exit 1
fi

# LOG FILE CONFIGURATION SECTION
# You might have to customize these entries depending on how
# you have syslogd configured. Be sure you check all relevant logs.
# The logtail utility is required to read and mark log files.
# See INSTALL for more information. Again, using one log file
# is preferred and is easier to manage. Be sure you know what the
# > and >> operators do before you change them. LOG FILES SHOULD
# ALWAYS BE chmod 600 OWNER root!!

# Generic and Linux Slackware 3.x
#$LOGTAIL /var/log/messages > $TMPDIR/check.$$

# Linux Red Hat Version 3.x, 4.x
#$LOGTAIL /var/log/messages > $TMPDIR/check.$$
#$LOGTAIL /var/log/secure >> $TMPDIR/check.$$
#$LOGTAIL /var/log/maillog >> $TMPDIR/check.$$

# FreeBSD 2.x
$LOGTAIL /var/log/messages > $TMPDIR/check.$$
$LOGTAIL /var/log/maillog >> $TMPDIR/check.$$

# BSDI 2.x
#$LOGTAIL /var/log/messages > $TMPDIR/check.$$
#$LOGTAIL /var/log/secure >> $TMPDIR/check.$$
#$LOGTAIL /var/log/maillog >> $TMPDIR/check.$$
#$LOGTAIL /var/log/ftp.log >> $TMPDIR/check.$$
# Un-comment out the line below if you are using BSDI 2.1
#$LOGTAIL /var/log/daemon.log >> $TMPDIR/check.$$

# SunOS, Sun Solaris 2.5
#$LOGTAIL /var/log/syslog > $TMPDIR/check.$$
#$LOGTAIL /var/adm/messages >> $TMPDIR/check.$$

# HPUX 10.x and others(?)
#$LOGTAIL /var/adm/syslog/syslog.log > $TMPDIR/check.$$

# Digital OSF/1
# OSF/1 – uses rotating log directory with date & time in name
# LOGDIRS=`find /var/adm/syslog.dated/* -type d -prune -print`
# LOGDIR=`ls -dtr1 $LOGDIRS | tail -1`
# if [ ! -d “$LOGDIR” ]
# then
# echo “Can’t identify current log directory.” >> $TMPDIR/checkrepor$
# else
# $LOGTAIL $LOGDIR/auth.log >> $TMPDIR/check.$$
# $LOGTAIL $LOGDIR/daemon.log >> $TMPDIR/check.$$
# $LOGTAIL $LOGDIR/kern.log >> $TMPDIR/check.$$
# $LOGTAIL $LOGDIR/lpr.log >> $TMPDIR/check.$$
# $LOGTAIL $LOGDIR/mail.log >> $TMPDIR/check.$$
# $LOGTAIL $LOGDIR/syslog.log >> $TMPDIR/check.$$
# $LOGTAIL $LOGDIR/user.log >> $TMPDIR/check.$$
# fi
#

Bom essa ? a parte que devemos configurar , vou me basear na configura??o de
uma m?quina FreeBSD , na qual ele ser? executado , mas se voc? quiser configurar
ele para linux ou qualquer outro sistema , n?o ser? t?o diferente.

Eu precisei criar um diret?rio no /etc/local/etc com o nome tmp , assim n?o
precisei mudar algumas sintaxes . Vejamos o que temos que mudar :

# Person to send log activity to.
SYSADMIN=root

Essa linha diz para quem ser? enviado o e-mail com as notifica??es. Ser for
para root , deixa desse jeito.

# Full path to logtail program.
# This program is required to run this script and comes with the package.

LOGTAIL=/usr/local/bin/logtail

Essa linha nos diz onde est? o logtail , ele ? necess?rio para rodar o script,
mas n?o esquente , porque ele vem no package do logcheck.

# Linux, FreeBSD, BSDI, Sun, HPUX, etc.
GREP=egrep

Essa linha faz referencia ao “egrep” , geralmente n?o necessita ser mudada.

# Linux, FreeBSD, BSDI, Sun, etc.
MAIL=mail

Esta faz refer?ncia ao “mail” , geralmente n?o precisa ser mudada.

HACKING_FILE=/usr/local/etc/logcheck.hacking
VIOLATIONS_FILE=/usr/local/etc/logcheck.violations
VIOLATIONS_IGNORE_FILE=/usr/local/etc/logcheck.violations.ignore
IGNORE_FILE=/usr/local/etc/logcheck.ignore

Essas linhas se referem ao caminho dos arquivos que vimos anteriormente,
certifique -se se est? correto com o seu sistema.

# FreeBSD 2.x
$LOGTAIL /var/log/messages > $TMPDIR/check.$$
$LOGTAIL /var/log/maillog >> $TMPDIR/check.$$

Essas linhas nos diz que o logcheck ir? analisar os logs vindos de /var/log/messages
e /var/log/maillog , voc? pode alterar essas linhas , dependendo de como o seu
syslog est? configurado.

Lembre -se que voc? pode e deve alterar essas linhas para que o logcheck
funcione corretamente em seu sistema .

Pronto ! , feito isso podemos rodar o logcheck.

RODANDO O LOGCHECK

Vamos colocar o logcheck para trabalhar e em seguida ativaremos o PortSentry,
com isso teremos uma seguran?a maior em nossa rede.

FreeBSD # ./logcheck.sh
FreeBSD# portsentry -tcp
FreeBSD# portsentry -udp

Logo ap?s isso simulei ataques , que o portsentry detectou , e que foi enviado
cara mim por e-mail atrav?s do logcheck.

UMA EXEMPLO DE E-MAIL ENVIADO PELO LOGHECK

From root Thu May 17 15:24:36 2001
Return-Path:
Received: (from root@localhost)
by freebsd.net.com.br (8.11.0/8.11.0) id f4HIOaZ00445
for root; Thu, 17 May 2001 15:24:36 -0300 (BRT)
(envelope-from root)
Date: Thu, 17 May 2001 15:24:36 -0300 (BRT)
From: Charlie Root
Message-Id: <200105171824.f4HIOaZ00445@freebsd.net.com.br>
To: root
Subject: freebsd.net.com.br 05/17/01:15.24 ACTIVE SYSTEM ATTACK!

Active System Attack Alerts
=-=-=-=-=-=-=-=-=-=-=-=-=-=
May 16 09:32:08 freebsd portsentry[224]: attackalert: Connect from host:
windows.net.com.br/192.1.1.1 to TCP port: 1080
May 16 09:32:08 freebsd portsentry[224]: attackalert: Host: 192.1.1.1 is
already blocked. Ignoring

Security Violations
=-=-=-=-=-=-=-=-=-=
May 16 09:32:08 freebsd portsentry[224]: attackalert: Connect from host:
windows.net.com.br/192.1.1.1 to TCP port: 1080
May 16 09:32:08 freebsd portsentry[224]: attackalert: Host: 192.1.1.1 is
already blocked. Ignoring
May 17 08:03:02 freebsd login: ROOT LOGIN (root) ON ttyv0
May 17 15:08:21 freebsd login: ROOT LOGIN (root) ON ttyv0

Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
May 16 09:32:08 freebsd portsentry[224]: attackalert: Connect from host:
windows.net.com.br/192.1.1.1 to TCP port: 1080
May 16 09:32:08 freebsd portsentry[224]: attackalert: Host: 192.1.1.1 is
already blocked. Ignoring

ANALISANDO O E-MAIL ENVIADO PELO LOGCHECK

Active System Attack Alerts
=-=-=-=-=-=-=-=-=-=-=-=-=-=
May 16 09:32:08 freebsd portsentry[224]: attackalert: Connect from host:
windows.net.com.br/192.1.1.1 to TCP port: 1080
May 16 09:32:08 freebsd portsentry[224]: attackalert: Host: 192.1.1.1 is
already blocked. Ignoring

Esse alerta enviado pelo logcheck , como podemos ver foi dado pelo portsentry,
o que poderia ser uma poss?vel tentativa de invas?o. Esses avisos foram colocados
aqui porque o alerta “atackalert” esta em nosso arquivo de keyword com caracterizariam
uma poss?vel invas?o.

Security Violations
=-=-=-=-=-=-=-=-=-=
May 16 09:32:08 freebsd portsentry[224]: attackalert: Connect from host:
windows.net.com.br/192.1.1.1 to TCP port: 1080
May 16 09:32:08 freebsd portsentry[224]: attackalert: Host: 192.1.1.1 is
already blocked. Ignoring
May 17 08:03:02 freebsd login: ROOT LOGIN (root) ON ttyv0
May 17 15:08:21 freebsd login: ROOT LOGIN (root) ON ttyv0

Novamente temos as infoma??es do portsentry , isso porque a sintaxe “atackalert”
se encontra em todos os nossos arquivos de configura??o,
exceto ? claro nos arquivos que ignoram regras.
A duas novas linhas s?o :

May 17 08:03:02 freebsd login: ROOT LOGIN (root) ON ttyv0
May 17 15:08:21 freebsd login: ROOT LOGIN (root) ON ttyv0

Isso nos diz a data e a hora que Root logou no sistema , agora se n?o foi voc?,
talvez estja com problemas.

Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
May 16 09:32:08 freebsd portsentry[224]: attackalert: Connect from host:
windows.net.com.br/192.1.1.1 to TCP port: 1080
May 16 09:32:08 freebsd portsentry[224]: attackalert: Host: 192.1.1.1 is
already blocked. Ignoring

Aqui est? novamente nossa entrada do PortSentry , bom nessa parte voc?
provavelmente receber? infoma??es dos eventos que ocorreram em geral na m?quina,
como reboot , inicializa??o de programas , entre outros.

Provav?lmente voc? precisar? rodar o logcheck como super-usu?rio por?m por quest?es de seguran?a o logcheck n?o ? habilitado a rodar como usu?rio root ou id 0.

Para resolver esta quest?o use o comando:
#su -s /bin/bash -c “/usr/sbin/logcheck>/b>” logcheck
lembrando que o caminho do comando que est? em negrito ? o caminho do bin?rio do script logcheck.

Caso voc? n?o saiba o caminho do aplicativo use o comando.
#whereis logcheck.

At? mais.

Posted in Sem categoria

Configurando o PortSentry

PortSentry: Melhorando a Seguran?a da sua Box Linux

Autor: Anderson Luiz Tamborim (Spawn Locoust)

ICQ: #50390241 E-mail: y2h4ck@bol.com.br

Portsentry: Uma alternativa eficiente
Portsentry e uma aplica??o muito simples de se utilizada, escrita para sistemas GNU/Linux com o objetivo de ajudar usu?rios a manter crackers
longe de seu precioso sistema. Barrando Portscanners e outras tentativas de burlar sua seguran?a.

Portsentry foi desenvolvido pelo pessoal da Psionic.com que hoje faz parte da CISCO como voc?s podem ver aqui:

http://newsroom.cisco.com/dlls/corp_102202.html.

2 – Projeto Sentry Tools

O portsentry foi concebido como parte do projeto sentry Tools, que tem alem dele o LogCheck uma ferramenta de checagem de logs de maneira eficiente e bem simples tamb?m.

Como podemos ver o Projeto Sentry Tools veio para ajudar usu?rios e admins que n?o tenham muita experi?ncia em seguran?a de inform?tica conseguir um padr?o um po?o mais elevado de seguran?a em seus sistemas
de maneira simples e bem intuitiva.

Recomendo uma visita ao site do projeto :

http://sourceforge.net/projects/sentrytools/

Vamos ver agora como instalar e configurar o Portsentry e assim tornar nosso linux ainda mais seguro.
Instalando e Configurando
Instalando

Primeiro passo e baixar a vers?o mais recente do PortSentry.
Vamos baixar a vers?o direto do site do projeto, j? tive umas experi?ncias com RPMs no conectiva e meu amigo n?o foram muito interessantes.
Pegue o tar.gz ele compila sem muitos traumas e a instala??o e bem r?pida.

Vamos l?.

Vamos baixar o Portsentry de um dos mirrors que temos na pagina, o arquivo tem apenas 47 kb.

http://easynews.dl.sourceforge.net/sourceforge/sentrytools/portsentry-1.2.tar.gz
/* esse link e bem r?pido */

Muito bem vamos criar uma pastinha para nosso amigo

$mkdir /security
$ mv portsentry-1.2.tar.gz /security
$ cd /security
$ tar -xzvf portsentry-1.2.tar.gz
$ ./configure ; make ; make install

e voila teremos o portsentry instalado em nosso sistema 😉

Configurando

Essa e a parte mais divertida porque garanto que cada um apos observar
o arquivo de configura??o do P.S. vai ver configura??es que lhe chamaram mais a aten??o dando configura??es totalmente inusitadas.

Vou dar um exemplo de configura??o de bloqueio para atacantes que tentam
portscanning e um pequeno honey pot.

Vamos dar uma olhada na pasta usr/local/psionic/portsentry
teremos alguns arquivos dentro dela, vamos utilizar o
portsentry.conf

Vamos ver as primeiras configura??es interessantes que devemos fazer:

————————-Cut Here —————————————–
# Un-comment these if you are really anal:
#TCP_PORTS=”1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635,1080,1524,2000,2001,[..]
#UDP_PORTS=”1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,[..]
#
# Use these if you just want to be aware:
TCP_PORTS=”1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,[..]
UDP_PORTS=”1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321″
#
# Use these for just bare-bones
#TCP_PORTS=”1,11,15,110,111,143,540,635,1080,1524,2000,12345,12346,20034,32771,32772,32773,32774,49724,54320″
#UDP_PORTS=”1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,31337,54321″

————————- Cut Here ————————————————

Aqui estao as portas que TCP/UDP que o Portsentry vai “guardar”.
Analise as portas que tem em cada lista, as portas verdadeiras de seu sistema n?o devem conter nesta lista okei, caso contrario o p.s. vai bloquear as tentativas de conex?o nelas.

Como voc?s viram o segundo conjunto de portas esta habilitado, vamos utilizar ele como teste, depois podemos refinar essas portas e tudo mais que voc?s quiserem.

Vamos continuar nossa analise no arquivo de conf:

————————- Cut Here ————————————————-

IGNORE_FILE=”/usr/local/psionic/portsentry/portsentry.ignore”
HISTORY_FILE=”/usr/local/psionic/portsentry/portsentry.history”
BLOCKED_FILE=”/usr/local/psionic/portsentry/portsentry.blocked”

————————– Cut Here ————————————————–

Bom o primeiro arquivo s?o os hosts que o portsentry deve ignorar, ou seja
os hosts que estiverem nesta lista n?o ser?o analisados por ele.
O segundo e o history ou seja, tudo que o ps j? fez, desde analisar conex?es e bloquear estar? listado neste arquivo. Equivale a um ~/.bash_history.
O terceiro e a lista negra do portsentry, os atacantes bloqueados por ele,
e os hosts que ele colocou como perigosos.

Essa lista voc? deve ficar esperto porque as vezes algu?m pode cair ai por engano de um falso positivo, ent?o fique sempre analisando esta lista
para n?o ficar sem determinados servi?os de comunica??o

Vamos ver agora uma op??o muito maneira do Port Sentry que e a
KILL_ROUTE .

Esta fun??o como j? diz o nome killa a rota do atacante, passando a ignorar todo e qualquer pacote e requisi??o feita por ele por tempo que voc? ira determinar ( logo mostraremos como).

Como usamos linux a op??o que vamos habilitar ser? a :

KILL_ROUTE=”/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP”

Como voc? pode ver e uma regra simples, voc? pode melhorar a regra
do jeito que achar melhor e tudo mais, iptables meu amigo tem 10001 possibilidades.
OBS: $TARGET$ = ip do atacante que ele detectou

Alem de bloquear pelo iptables voc? tamb?m pode utilizar Tcp Wrappers para
isso:

KILL_HOSTS_DENY=”ALL: $TARGET$ # Portsentry blocked”

n?o recomendo a se??o de Droping Route porque da mais trabalho de
liberar ips bloqueados. KILL_ROUTE j? e mais que suficiente.

##############
# External Command#
##############

Essa parte permite voc? realizar um comando externo ao portsentry
para reagir ao ataque ou para escrever algum log especial.

#KILL_RUN_CMD=”/some/path/here/script $TARGET$ $PORT$”

Como podem ver a sintaxe padrao e como se fosse executar um
“contra ataque” mas isso n?o e muito interessante n?o e mesmo.

Creio que para nos seria mais interessante escrever um log com os
ips atacantes e tal. Bom fica a seu crit?rio
onde $PORT$ e a mesma porta onde voc? foi atacado.

###############
# Port Banner Section#
###############

Essa e a parte mais legal do portsentry.
Como voc? viu l? em cima ele fica analisando varias portas, se algu?m passar um scan de portas e n?o for barrado por algum motivo ele vai
tentar conectar em alguma porta chamativa como 79 5555 e ter? uma surpresa:

PORT_BANNER=”** Unauthorized Access Prohibited ** Your Connection attempt has been logged . . . GO AWAY!!”

Ele ir? ver essa mensagem em seu cliente telnet por exemplo e sua rota ser? killada.

Coloque algo ao seu gosto:

” Cai fora seu enxerido !!! aqui esta o seu ip $TARGET$”

Fica ao seu Gosto 🙂

Agora para iniciar o portsentry basta executar:

$portsentry -tcp

$portsentry -udp

E prontinho o portsentry estar? protegendo seu sistema.

Considera??es Finais

Como viram e muito simples configurar o portsentry.
Fica para uma pr?xima vez uma pequena analise do logcheck okei.

Testem ele ai em suas maquinas e tentem refinar a qualidade das
prote??es a seu gosto ver?o que pode ser feita muita coisa legal com ele
integra-lo com snort e psad fica muito bom.

Bom Cordial abra?o a todos.

Spawn Locoust

PS: Seguem alguns links

http://linux.cudeso.be/linuxdoc/portsentry.php
http://www.linuxsecurity.com.br/article.php?sid=8365
http://www.linux.ie/articles/portsentryandsnortcompared.php
http://www.securityfocus.com/infocus/1580

Ate o Pr?ximo.
Forte Abra?o a Todos.

Spawn locoust

Posted in Sem categoria

Intel testa Wi-Max em Bras?lia

A Intel come?a a testar a tecnologia de acesso ? internet sem fio Wi-Max em Bras?lia. Os testes fazem parte do que o executivo-chefe da companhia, Craig Barrett, chama de “cesta b?sica” de tecnologia. O CEO da Intel, de passagem pelo Brasil, disse nesta quinta-feira (16/09) em S?o Paulo que essa cesta b?sica ? parte de uma “agenda para o futuro”.

Barrett afirmou que a “cesta b?sica” deve ser fornecida pelo setor p?blico e privado. O primeiro fica respons?vel pela cria??o de uma base educacional. O setor privado fica respons?vel – e aqui a Intel toma parte da responsabilidade – pela cria??o de uma infra-estrutura tecnol?gica capaz de levar acesso ? internet, software e servi?os para a popula??o. “A Intel tem grande responsabilidade social para devolver ? sociedade o que ? gerado por ela”, afirmou o CEO da Intel.

Nas palavras de Barrett, a cesta b?sica tecnol?gica para o setor p?blico ? composta ainda pelo fornecimento de ferramentas tecnol?gicas e treinamento para professores e pela expans?o do uso da tecnologia para o fornecimento de servi?os p?blicos essenciais de forma mais eficiente. Barret citou como exemplo o servi?o Poupatempo, fornecido pelo governo de S?o Paulo ? popula??o – e que inclui centros de treinamento em computa??o para a popula??o.

O Wi-Max, uma extens?o das redes Wi-Fi, permite cobrir ?reas de at? mais de 30 quil?metros com acesso ? internet sem fio. Ronaldo Miranda, diretor de marketing da Intel Brasil, fez uma demonstra??o em tempo real de um computador conectado em alta velocidade a uma rede fornecida pela Neovia, companhia que tem investimentos da pr?pria Intel.

O projeto de Wi-Max a ser implantado em Bras?lia conta com apoio da Ag?ncia Nacional de Telecomunica??es (Anatel) e da Rede Nacional de Ensino e Pesquisa (RNP). “Entretanto, a Intel n?o pretende investir em licen?as para Wi-Max”, explicou Miranda.

A fase de testes, em parceria com o Minist?rio da Educa??o, vai at? o final de dezembro e atingir? uma ?rea de 35 quil?metros em torno da capital federal. Um laborat?rio com computadores instalado em uma escola de Bras?lia e um caminh?o da Intel equipado v?o fornecer acesso ? internet, cursos de ensino ? dist?ncia e uso de e-mail, entre outros. Um projeto deve ocorrer na cidade de Ouro Preto, em Minas Gerais.

Ainda em parceria com o governo federal, a Intel inicia o projeto piloto do programa Aluno T?cnico no estado do Piau?. O projeto pretende treinar e desenvolver capacidades t?cnicas em alunos do ensino m?dio para montagem, recupera??o e manuten??o de computadores. Na primeira fase do Aluno T?cnico, dois p?los de recupera??o de micros em Teresina v?o treinar duzentos alunos de escolas p?blicas estaduais e municipais. O projeto inclui participa??o dos minist?rios do Trabalho e da Educa??o.

A passagem de Barrett pelo Brasil deve ser a ?ltima do executivo como CEO da Intel. Prestes a completar 66 anos – pela pol?tica da Intel, a idade m?xima para se aposentar ? 65 anos, o sucessor de Barrett deve ser conhecido apenas em maio de 2005, quando ocorre o encontro anual da dire??o da companhia.

Autor: Henrique Martin, da PC World

Posted in Sem categoria

Hackers defendem EUA de ataques digitais

O INEEL – Laborat?rio Nacional de Engenharia E Meio Ambiente de Idaho, nos Estados Unidos, est? contratando hackers para encontrar falhas em redes de computa??o de oleodutos, ferrovias e servi?os p?blicos norte-americanos.

Jason Larsen digita algumas linhas de c?digo em seu computador na tentativa de invadir os sistemas de uma f?brica de produtos qu?micos. Ent?o ele descobre uma c?mara online dentro das instala??es e conclui que sua miss?o foi um sucesso.

Larsen, de 31 anos, ? um dos hackers que o INEEL – Laborat?rio Nacional de Engenharia E Meio Ambiente de Idaho, nos Estados Unidos, convidou para encontrar falhas em redes de computa??o de oleodutos, ferrovias e servi?os p?blicos norte-americanos.

Para Paul Kearns, diretor da INEEL, as pessoas, em geral, n?o entendem o impacto de uma ataque digital e talvez critiquem a contrata??o dos hackers.

?N?o h? nenhum sistema conectado ? internet, ou por banda larga ou por dial que n?o possa ser pirateada. E os hackers est?o mostrando isso a nossos clientes ?, afirmou Laurin Dodd, supervisor da INEEL ? ag?ncia de not?cias Reuters.

Steve Schaefer outro expert da INEEL recebeu h? algum tempo a incumb?ncia de decodificar um sistema projetado pela General Electric. Em menos de dois meses, ele tinha em m?os informa??es suficientes para afetar as opera??es da companhia.

Fontes: ZDNet e IBLNews.

Noticia original: http://www.estadao.com.br/tecnologia/internet/2004/set/14/120.htm

Posted in Sem categoria

Criador do Linux ganha pr?mio de inova??o tecnol?gica

Linus Torvalds, o criador do Linux, sistema operacional de c?digo aberto, foi homenageado pela revista “The Economist”, durante o Terceiro Pr?mio de Inova??o, realizado anualmente pela publica??o.

O evento foi realizado em San Francisco e premia personalidades que inovaram em diferentes categorias: bioci?ncia, computa??o, energia e ambiente, comunica??es e inova??o social e econ?mica.

Os candidatos aos pr?mios foram selecionados por leitores da revista e jornalistas. Os vencedores, por?m, foram escolhidos por um comit? com 17 jurados.

Torvalds escreveu o c?digo original do Linux quando ainda era um estudante da Universidade de Helsinque. Al?m disso, ele divulgou o c?digo na internet e convidou outros programadores para melhorar o sistema operacional –sistema que at? hoje funciona para o software livre.

O criador do Linux tamb?m venceu o Pr?mio Takeda em 2001 e foi nomeado uma das pessoas mais influentes do mundo pela Time Magazine em 2004. Ele atualmente trabalha no Open Source Development Labs, promovendo o uso de aplicativos de c?digo aberto.

Fonte: Folha Online

Posted in Sem categoria

5 raz?es para programar em Software Livre

Se voc? nunca tentou programar em Software Livre, ou ainda n?o sabe se vale a pena participar, talvez algumas considera??es a seguir ajudem voc? a se motivar…

? divertido! – Eu sempre disse que, se tem gente que se diverte fazendo tric?, ou montando barquinhos dentro de garrafas, ou encaixando pe?as de quebra-cabe?as, n?o existe nada de errado em ter programa??o como um hobby. At? mesmo entre os que trabalham com programa??o o dia inteiro existem aqueles que, quando chegam em casa, v?o para a frente do computador trabalhar em um projeto pessoal ? a? ? pura divers?o, sem chefe, sem prazos. Desenhar um programa, imaginar as telas e menus, co?ar os miolos pensando em como resolver essa e aquela tarefa ? tudo isso ? um excelente exerc?cio pra manter o cabe??o bem ativo, e serve para qualquer crian?a de 8 a 80 anos que tenha aquela eterna chama da vontade de aprender e criar.

Voc? est? livre! – Hehehe, esse n?o podia faltar. Ok, n?o sejamos radicais aqui. Alguns programas da Microsoft s?o os melhores e/ou os mais f?ceis de usar do g?nero, e influenciaram muito do que temos hoje em Software Livre. Eles merecem seus cr?ditos, sem d?vida, e como o mundo n?o ? dividido em mocinhos e bandidos, como diz o grande professor e jornalista Carlos Chagas, ? bom saber que a Microsoft tem muita gente bacana. O mesmo vale para a Adobe, para a Borland, para a Macromedia, entre outros tantos que fizeram a inform?tica chegar ao ponto que est? hoje. Mas voc? tem todo o direito de ser contr?rio ? filosofia de patentear tudo e tornar-se dono de id?ias; de vender programas a pre?os at? mesmo abusivos; de fazer programas vulner?veis e cobrar pelas corre??es; de fazer pessoas decorarem seq??ncias de cliques e bot?es que as tornam incapazes de usar outros programas semelhantes.

D? a maior moral ? Ainda tem gente que diz que computador ? um instrumento anti-social. Ent?o t?: deixe quem diz isso ir para o boteco e encher a pan?a de chope, achando que est? sendo muito atraente e ?til para a sociedade. Criar ou ajudar a desenvolver um Software Livre automaticamente inclui voc? na grande aldeia global. Nela, voc? s? depende da sua intelig?ncia e da sua criatividade para se tornar um l?der, talvez at? uma autoridade reconhecida no mundo inteiro. Veja quantos caras no mundo do Software Livre s?o hoje bem empregados, conhecidos em v?rios pa?ses, citados como fontes de informa??o e decis?o no mundo. As empresas de tecnologia est?o ?vidas por encontrar pessoas com talento e conhecimento, e um Software Livre ? meio caminho andado para voc? mostrar sua compet?ncia. A outra metade do caminho pode ser o Pr?mio SOL…

? totalmente gr?tis! – Bah, todo mundo j? cansou de ouvir o distinto Richard Stallman dizer que ?free software? n?o ? ?software gr?tis?, e que o principal ? a liberdade de estudar e modificar o programa, etc etc etc. Tudo isso ? muito importante para os desenvolvedores e defensores do mundo do Software Livre, n?o h? d?vida. Mas para o pov?o mesmo, o pessoal que n?o sabe ou n?o est? a fim de mexer num c?digo-fonte, o grande barato do Software Livre ? mesmo o fato de haver um monte de programas completamente gratuitos, sem pirataria. Ainda mais quando voc? ganha em real e os softwares propriet?rios s?o vendidos em d?lar. E para o programador, que tamb?m ? gente, isso ? um incentivo tamb?m. Sem gastar um tost?o (n?o vamos considerar custos de conex?o ? internet), voc? tem nas m?os ferramentas de alt?ssimo n?vel, muito flex?veis e, em geral, com uma documenta??o extensa na internet.

Voc? est? contribuindo para o seu pa?s ? Voc? sabe bem quantos brasileiros t?m dinheiro para comprar softwares, n?? Ent?o nem ? preciso usar muitos argumentos para dizer que, ao criar ou adaptar um programa e sua documenta??o para as necessidades do Brasil, voc? est? dando uma tremenda contribui??o ? sociedade e ajudando o pa?s a se tornar um lugar melhor para voc?, seus filhos e seus amigos. Voc? vai mostrar para o mundo todo ? e o Pr?mio SOL vai ajudar muito nisso ? que aqui tem gente, sim, capaz de criar e fazer muita coisa muito boa. E voc? vai ficar bobo no dia em que descobrir que um garotinho pobre l? do interior, logo que chegou um computador na escola, adorou e aprendeu muito com o Software Livre que voc? criou.

Autor: Fabricio Rocha
Fonte: www.premiosol.com.br

Posted in Sem categoria

Stallman elogia esfor?os do Brasil

Richard M. Stallman, co-fundador do sistema operacional Gnu/Linux, elogiou as iniciativas do Brasil nesta ?rea e afirmou em entrevista ? EFE que est? disposto a colaborar com a Microsoft se forem respeitadas certas condi??es.

“N?o dir?amos ‘n?o’ ? Microsoft, sempre e quando nos deixarem trabalhar livremente”, declarou Stallman, que acrescentou que acha “improv?vel” que sua FSF (Free Software Foundation) chegue a um acordo comercial com o imp?rio de Bill Gates.

Stallman disse achar que o pr?prio p?blico ? que deve frear a expans?o da Microsoft: “Em princ?pio, o Gnu n?o foi feito como resposta ? Microsoft. N?s desenvolvemos o Gnu/Linux como uma alternativa ao software patenteado”, disse.

Fonte: Terra

Posted in Sem categoria

PDF em plataforma Gnu/Linux e Sony com distro para carros

A Adobe divulgou na quinta-feira (10/06) que tornar? documentos PDF, bem como o Adobe Acrobat Reader, compat?veis com consumidores usu?rios de Linux.

A companhia tamb?m revelou que a Sony j? comercializar? uma vers?o do sistema operacional Linux para navega??o em autom?veis com o Acrobat Reader e suporte para documentos PDF j? inclusos no mercado japon?s.

A Adobe pretende utilizar o software em um grande n?mero de aparelhos eletr?nicos espec?ficos, como sistemas de navega??o, celulares e port?teis equipados com sistemas Linux.
Macworld.co.uk.

Posted in Sem categoria