Você se sente seguro?

Em um mundo cada vez mais integrado, é cada vez mais comum, e até mesmo vital, manter e disponibilizar a seus clientes, amigos e parceiros grandes quantidades de informação. Mas como garantir que tais informações estão realmente seguras em seus computadores? Dada a complexidade de muitos sistemas atuais, é fácil se descuidar dos pequenos detalhes e deixar as portas abertas para uma possível invasão. A maneira mais correta de prevenir problemas é com uma auditoria completa e constante de sua rede, combinada com a manuteção preventiva de seus sistemas. As várias ferramentas de segurança disponíveis na Internet, quando bem utilizadas, podem lhe revelar muito mais do que você pensava conhecer sobre seu sistema, indicando pontos fracos e possíveis soluções para problemas encontrados, reportando tentativas de invasão ou denunciando softwares aparentemente inofensivos, mas inseguros. Em nosso CD trazemos, em parceria com a Linux Security Brasil (www.linuxsecurity.com.br), o Trinux, uma distribuição Linux voltada especificamente à segurança, e centenas de ferramentas que irão ajudar os profissionais, e até mesmo iniciantes, da área a se defender de ataques, exploits e invasões, além de ajudar na verificação, diagnóstico e resolução de muitos problemas comuns em redes. As ferramentas são pacotes .tar.gz, divididas em diretórios de acordo com sua função e/ou classificação, que devem ser compiladas por você mesmo (afinal de contas, um bom profissional de segurança não confia em código pré-compilado) e podem ser instaladas em praticamente todas as distribuições Linux no mercado. Instruções estão disponíveis nos arquivos README ou INSTALL, dentro dos pacotes.

Trinux

O Trinux, criado por Matthew Franz e lançado à comunidade pela primeira vez em 1998, é uma mini distribuição Linux segura baseada em ramdisk, que pode ser carregada a partir de disquetes, CD ou via rede, e é executada totalmente em memória na sua estação de trabalho, o que torna o uso de um disco rígido dispensável.

A versão aqui distribuída é a 0.80rc2, desenvolvida tendo como base o Slackware 7.1 e o projeto BusyBox (que reúne versões reduzidas de ferramentas comuns como fileutils, shellutils, findutils, textutils, grep, gzip e tar, entre outras, em um único executável, o que ajuda a reduzir o tamanho final do sistema), podendo ser utilizada em qualquer PC 486 ou superior com uma unidade de CD-ROM “bootável” e, no mínimo, 12 MB de RAM, sendo que a quantidade de memória necessária depende da quantidade de software que você deseja carregar. O melhor do Trinux é justamente isso, quando um problema ocorrer em sua rede, ou quando você simplesmente sentir a necessidade de auditá-la como um todo, poderá utilizar-se até mesmo da estação de sua secretária para realizar diagnósticos rápidos e eficientes. E ele é indicado para casos de resolução/detecção de problemas desconhecidos na rede, detecção de intrusos ou anomalias, análise aleatória de pacotes, testes de configurações de firewalls, fingerprinting passivo, captura de tráfego, análise forense, backup e recuperação de dados, construção de pacotes, proteção de estações ou hosts de uma rede e tudo mais o que sua criatividade mandar.

Instalação e configuração básica

Por ser independente de disco rígido e carregado/executado totalmente na memória de seu micro, o Trinux não necessita quaisquer procedimentos de instalação, bastando inicializar sua estação de trabalho com o CD no drive. Justamente por não se utilizar de disco rígido, nenhum dado ou configuração é permanentemente gravada, sendo recomendada a utilização da ferramenta savecfg para o registro de suas configurações em disquete, save-sshkeys para backup de chaves geradas para o ssh e savehome para cópia dos dados de seu diretório $HOME para uma outra máquina via FTP ou ssh.

Durante o boot do Trinux, o sistema tentará (na maioria dos casos) obter um endereço IP via DHCP. Caso isso não aconteça, ou caso sua placa de rede não seja detectada, você deverá informar manualmente dados como endereço IP, netmask, gateway e DNS.

Observe, durante o boot, as mensagens emitidas pelo sistema (dica: utilize o comando dmesg | more), pois elas contém informações importantes que podem ser necessárias à correta configuração e utilização do Trinux.

Lembre-se que você pode utilizar-se do /linuxrc e dos arquivos encontrados em /etc/tux e /etc/tux/init para adicionar seus próprios comandos de inicialização ou configuração (não se esqueça de posteriormente salvar estes dados em disquete com o comando savecfg).

Todos os demais arquivos de configuração do Trinux se encontram nos diretórios /etc e /etc/tux, sendo os mais importantes:

/etc/tux/config: Diretório contendo arquivos de configuração do sistema, como crontab e configuração do sistema de arquivos, além do arquivo que indica quais pacotes devem ser carregados durante a inicialização.

/etc/tux/options: Os recursos são habilitados ou desabilitados de acordo com o nome dos arquivos contidos neste diretório. Em /etc/tux/options/disabled você encontrará arquivos com nomes de serviços desabilitados (alguns não implementados nesta nossa versão).

Os arquivos encontrados em /etc/tux/init são executados na seguinte ordem:

/etc/tux/init/first: Primeiro arquivo a ser executado

/etc/tux/init/prenet: Executado anteriormente à configuração da rede

/etc/tux/init/postnet: Executado logo após a configuração da rede

/etc/tux/init/prepkg: Executado antes da carga dos pacotes

/etc/tux/init/last: Último arquivo a ser executado, logo antes do interpretador de comandos

Sistema de pacotes

O Trinux utiliza-se de um sistema próprio de pacotes pré-compilados, armazenados no formato .tgz. Dependendo da quantidade de memória RAM disponível em sua estação e de sua configuração inicial, o Trinux descompactará e carregará automaticamente alguns pacotes durante seu processo de boot e inicialização. Vários pacotes estão inclusos em nosso CD, e para acessá-los basta montar o disco (por exemplo, com o comando: mount /dev/hdc /cdrom) e navegar pelos diretórios abaixo de /software/Seguranca/Trinux (no caso do exemplo /cdrom/software/Seguranca/Trinux), adicionando ao sistema os pacotes adequados à situação na qual você estiver utilizando o Trinux.

Para adicionar os pacotes, você pode utilizar o próprio tar (tar zxvf pacote.tgz) ou, preferencialmente, o comando pkgadd (pkgadd pacote.tgz). Não se esqueça de que os pacotes serão “instalados” na memória RAM de sua estação. Então quanto mais RAM, mais pacotes você poderá instalar.

As placas de rede atualmente suportadas pelo Trinux são:

• 3Com Etherlink 509 series (ISA)
• 3Com Etherlink 590/905 series (PCI)
• Realtek 8139 (PCI)
• NE2000/Realtek 8129 (PCI)
• NE2000 (ISA)A
• AMD PCNet 32
• Intel EtherExpress Pro 10/100
• SMC EtherPower II
• DEC Tulip

Módulos para outras NICs podem estar disponíveis no site oficial (/www.trinux.org), ser fornecidos pelo fabricante de sua placa (para kernel 2.4.5, nesse caso) ou em nosso CD no diretório /software/Seguranca/Trinux/Modulos_Adicionais, que também contém alguns outros módulos adicionais que podem ser necessários ao hardware específico de sua máquina.

Além do material sobre segurança, nosso CD também contém outros softwares, como versões atualizadas dos navegadores Galeon e Mozilla, os clientes de e-mail Pronto! e Sylpheed, código fonte de novas versões do kernel do Linux, documentação e um kit completo para a instalação do KDE 2.2.1 em um sistema com o Conectiva Linux 7.0. Para maiores detalhes, abra em seu navegador o arquivo index.html, localizado no diretório principal do CD. Veja até a página 43 algumas das ferramentas de segurança que fazem parte do CD desta edição.

Atenção

Muitas das ferramentas inclusas em nosso CD podem ser utilizadas para fins ilícitos e a utilização das mesmas em redes sem a permissão explícita do administrador pode ser entendida como incidente ou agressão. Portanto, ao utilizá-las, tenha absoluta certeza do que você está fazendo, e só as utilize em redes nas quais você possui autorização para acesso total e irrestrito.

Jail Chroot Project

Jail é um ambiente chrooted para o interpretador Bash. Seu principal objetivo é ser utilizado como shell para um usuário que o administrador deseje manter em ambiente chrooted. O utilitário tem como foco a simplicidade na utilização, clareza e portabilidade.

No CD: /software/Seguranca/Linux/Hardening/JailChroot/jail_1.9.tar.gz

Linux Intrusion Detection System (LIDS)

Apesar de seu nome (herdado de sua habilidade em detectar portscans), o LIDS é muito mais do que um simples sistema de detecção de intrusos. Trata-se de um patch com a finalidade de aumentar a segurança padrão do kernel Linux. Quando ativo, o acesso a arquivos selecionados, operações de administração do sistema ou da rede, acesso a operações de I/O, etc. podem ser proibidos até mesmo ao superusuário (root). O administrador pode definir quais programas podem acessar certos arquivos, além de poder fazer um ajuste fino das proteções, esconder processos, receber alertas de segurança através da rede e muito mais.

No CD: /software/Seguranca/Linux/Patches/LIDS/

Tuxfrw

O script Tuxfrw é um script firewall desenvolvido por Brasileiros e é baseado no cftk da Conectiva, com algumas mudanças como a inclusão de NAT 1:1, utilizado em redes com DMZ, além da capacidade de detecção de trojans a partir de um arquivo de informações incluso na distribuição.

No CD: /software/Seguranca/Linux/Firewall/Tuxfrw/tuxfrw-2.6.tgz

Swatch

Swatch é uma ferramenta UNIX de auditoria utilizada para monitorar arquivos de log do sistema, filtrando dados inúteis e executando ações específicas (envio de email, execução de um script, etc.), caso certos padrões sejam encontrados nos logs do sistema.

No CD: /software/Seguranca/Linux/Auditoria/swatch-3.0.3.tar.gz

Calamaris

Disponível para Linux, FreeBSD, NetBSD, OpenBSD e Solaris, Calamaris é uma ferramenta que realiza análises dos logs nativos do Squid, Netcache, Inktomi proxy server, Novell Internet Caching System, Compaq Tasksmart ou Netscape/iplanet Web Proxy Server, gerando relatórios contendo pico de utilização, métodos de requisição, status de requisições de entrada e saída, destinos secundários e top level, content-types e relatórios de performance em geral.

No CD: /software/Seguranca/Linux/Auditoria/Calamaris/calamaris-2.42.tar.gz

Ethereal

Ethereal é um analisador/monitor/sniffer gráfico de redes para Unix. Permite que você examine dados de uma rede em tempo real ou de um segmento específico capturado e gravado em disco. Você pode interativamente “navegar” pelos dados capturados e obter um sumário de observação e detalhes de cada pacote recebido/gravado. Excelente para análise de problemas de rede e como ferramenta de diagnóstico.

No CD: /software/Seguranca/Linux/Sniffers/ethereal-0.8.20.tar.gz

Firestarter

Firestarter é uma ferramenta para construção e monitoramento de firewalls utilizando Linux + IPChains. Construa seu firewall através de uma interface gráfica, adicione, altere e exclua regras de forma simples, e monitore tentativas de conexões barradas por suas regras. Excelente para estações de trabalho e usuários finais que se preocupam com a segurança.

No CD: /software/Seguranca/Linux/Firewall/Firestarter/firestarter-0.7.1.tar.gz

Firewall Log Daemon

O Firewall Log Daemon para Linux é constituído de 2 programas (chaindaemon e tabledaemon), que devem ser utilizados de acordo com o tipo de firewall usado em sua rede (ipchains ou iptables-netfilter). O programa escolhido irá inicializar um pequeno processo (daemon) que analisa e resolve nomes de logs de firewalls, em tempo real, através da leitura de um FIFO onde o syslog escreve, gerando um conjunto de alertas que serão, depois, enviados por e-mail ao administrador do sistema. Suporta procura de nome de hosts, porta, protocolo tipo/código ICMP, com saída de dados formatada, facilitando a compreensão das informações apresentadas.

No CD: /software/Seguranca/Linux/Firewall/Firedaemon/firelogd-1.3-5.tgz

Nessus

Nessus é um completo scanner remoto de segurança/vulnerabilidades para Linux, BSD, Solaris e outros UNIX em geral. Trabalha com multi-threading e é baseado em plugins (freqüentemente atualizados). Possui uma interface GTK, que facilita sua configuração, e capacidade de executar mais de 500 diferentes verificações remotas de segurança. Permite a geração e exibição de relatórios em HTML, XML, LaTeX e texto ASCII, além de sugerir soluções para cada problema encontrado.

No CD: /software/Seguranca/Linux/Scanners/Nessus/nessus-installer.sh (Instalador)

No CD: /software/Seguranca/Linux/Scanners/Nessus/src/ (código fonte)

Dscan (Distributed Portscanner)

Dscan (Distributed Portscanner) é uma ferramenta para portscanning distribuído que se utiliza de um cliente e diversos servidores (executados em diversos hosts) para realizar sua varredura, tornando a mesma mais difícil de ser detectada.

No CD: /software/Seguranca/Linux/Scanners/Dscan/dscan-0.6.tar.gz

Nmap

Nmap é uma ferramenta para auditoria/exploração de segurança de redes. Suporta ping scanning (para determinar quais hosts estão “vivos” numa determinada rede), várias técnicas de port scanning (que determinam quais serviços determinados hosts oferecem) e TCP/IP fingerprinting (para “adivinhação” do sistema operacional do host remoto). Também oferece diversas outras opções como sunRPC scanning, decoy scanning e muito mais, sendo considerado como um dos mais rápidos e eficientes Security Scanners disponíveis atualmente.

No CD: /software/Seguranca/Linux/Scanners/Nmap/

Syslog-ng (Syslog new generation)

syslogd-ng é uma excelente alternativa ao conhecido syslogd para sistemas UNIX. Suas características incluem configuração ampla e completa, que permite ao usuário/administrador filtrar mensagens de logs baseado em prioridades, proteção hash para arquivos de logs (apenas na série devel) e suporte multiplataforma (Linux,BSD, AIX, HP-UX e Solaris).

No CD: /software/Seguranca/Linux/Auditoria/syslog-ng/estavel/syslog-ng-1.4.14.tar.gz e /software/Seguranca/Linux/Auditoria/syslog-ng/devel/syslog-ng-1.5.12.tar.gz (devel)

Chkrootkit

Chkrootkit é um Shell script, desenvolvido pelo brasileiro Nelson Murilo, que checa a existência de rootkits instalados em sua máquina através de comparações com “assinaturas” singulares dos mais comuns. Foi testado com sucesso nas seguintes plataformas: Linux 2.0.x e 2.2.x (qualquer distribuição), FreeBSD 2.2.x, 3.x e 4.0, OpenBSD 2.6 e 2.7 Solaris 2.5.1, 2.6 e 8.0... Atualmente o script realiza testes de detecção para os binários: aliens, asp, bindshell, lkm, rexedcs, sniffer, wted, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, login, ls, mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd, tar, tcpd, top, telnetd, timed, traceroute, write. Detecta a presença dos rootkits: lrk3, lrk4, lrk5, lrk6 (e algumas variantes); Solaris rootkit; FreeBSD rootkit; torn; Ambient's Rootkit for Linux (ARK); Ramen Worm; .rh[67]-shaper; RSHA; Romanian rootkit;RK17; Lion Worm;Adore Worm; LPD Worm; kenny-rk; Adore LKM; ShitC Worm; Omega Worm; Wormkit Worm; Maniac-RK; dsc-rootkit; Ducoci rootkit; x.c Worm. Ferramenta indispensável a qualquer administrador de sistemas UNIX ou analista de segurança.

No CD: /software/Seguranca/Linux/Integridade/Chkrootkit/chkrootkit.tar.gz

AIDE

(Advanced Intrusion Detection Environment)

AIDE (Advanced Intrusion Detection Environment) é mais uma alternativa livre ao conhecido Tripwire. Ele gera um banco de dados que pode ser utilizado para checar a integridade do sistema de arquivos em um servidor.

No CD: /software/Seguranca/Linux/Integridade/AIDE/aide-0.7.tar.gz

FileWatch

FileWatch é um programa que observa arquivos informando ao usuário/administrador todas as vezes que o mesmo for modificado baseado no valor ctime do referido arquivo (retornado pela chamada de sistema stat() ), que muda a cada vez que os bits de permissão do arquivo, dados ou ownership do mesmo forem alterados.

No CD: /software/Seguranca/Linux/Integridade/FileWatch/filewatch-0.09.tar.gz

Samhain

Samhain é uma ferramenta para checagem da integridade de sistemas que pode, opcionalmente, ser utilizado como uma aplicação cliente/servidor para monitoramento centralizado de estações em rede. Em adição à possibilidade de envio de reports para o servidor de logs através de conexões TCP/IP autenticadas, diversas outras facilidades relacionadas a logging (como email, console, syslog, etc) estão disponíveis. Samhain foi testado no Linux, AIX 4.1, HP-UX 10.20, Unixware 7.1.0 e Solaris 2.6.

No Cd: /software/Seguranca/Linux/Integridade/Samhain/samhain-1.2.10.tar.gz

Ipaudit

O pacote ipaudit grava e apresenta a atividade de sua rede... É útil para identificação de usuários que se utilizam demasiadamente de sua banda, sessões telnet intrusivas, ataques D.o.S. e portscans... O pacote inclui o programa “ipaudit”, que armazena uma contagem de bytes e de pacotes para qualquer combinação host/porta e protocolo, e diversos scripts, que automaticamente utilizam o programa “ipaudit” para coletar estatísticas de tráfego da rede e geram reports para web.... Inclui também ferramentas como “total” e “ipstrings”, que podem ser utilizadas para investigação de gravações de tráfego de rede através da linha de comando.

No CD: /software/Seguranca/Linux/Auditoria/Ipaudit/ipaudit-0.95.tgz.

Cheops-ng (New Generation)

Cheops-ng é uma ferramenta de supervisão para mapeamento e monitoramento de redes que possui recursos como detecção de sistemas operacionais e descoberta de hosts e redes, além da possibilidade de realizar “port scans” em cada um dos computadores/estações encontrados, a fim de exibir que serviços estão sendo executados, além de checagem snmp, dentre outras possibilidades. É considerado um verdadeiro “canivete suíço” para redes.

No CD: /software/Seguranca/Linux/Auditoria/Cheops-ng/cheops-ng-0.1.5.tgz

Squid Web Proxy Cache

Squid é um cache/proxy Web completo que pode suportar proxy/cache de HTTP, FTP, conexões seguras com SSL, hierarquias cache, ICP, HTCP, CARP, cache digests, proxy/cache transparente, WCCP, controle de acessos (acl), “aceleração” HTTP, SNMP e cache de resolução DNS.

No CD: /software/Seguranca/Linux/Proxy/Squid/squid-2.4.STABLE2-src.tar.gz

Fwlogwatch

fwlogwatch é uma ferramenta para ser utilizada na análise dos logs do filtro de pacotes IPChains, que gera como saída relatórios no formato texto ou HTML. Possui um gerador de relatórios para incidentes e capacidade de resposta a anormalidades em tempo real.

No CD: /software/Seguranca/Linux/Firewall/Fwlogwatch/fwlogwatch-0.5.tar.gz

Flawfinder

Flawfinder é uma alternativa livre, Open Source (GPL), ao conhecido ITS4, que realiza varreduras no código fonte de programas, informando sobre potenciais falhas de segurança em um relatório, organizando pelo nível de periculosidade das falhas encontradas.

Para um comparativo entre ferramentas similares, leia o artigo “Matando Bugs na Fonte” de Izar Tarandach em www.linuxsecurity.com.br/sections.php?op=viewarticle&artid=20

No CD: /software/Seguranca/Linux/Linux/Auditoria/Flawfinder/flawfinder-0.17.tar.gz

KnetfilterM

Knetfilter é uma ferramenta para ser utilizada no KDE, desenvolvida para gerenciar as funcionalidades do netfilter. Em princípio, todas as ações administrativas de um sistema firewall padrão podem ser realizadas através da utilização do Knetfilter.

No CD: /software/Seguranca/Linux/Firewall/Knetfilter/knetfilter-2.2.1.tar.gz

Fireparse

Fireparse é um script, desenvolvido em Perl, que envia por email um relatório de todos os pacotes que foram registrados em log pelo sistema de filtro de pacotes IPTables. O relatório inclui portas de origem e destino, direção, contagem de pacotes, regra do iptables utilizada e resolução de nomes (quando disponível), e pode ser formatado em texto puro ou HTML. O Fireparse também move todas as entradas iptables do arquivo syslog para um novo arquivo, para que novas entradas sejam melhor notificadas e filtradas.

No CD: /software/Seguranca/Linux/Firewall/Fireparse/fireparse.tgz

APSEND

APSEND é um transmissor de pacotes TCP/IP utilizado para testes de firewalls e outras aplicações de rede. A ferramenta inclui opção para SYN flood, ataque DoS LAND, DoS para o tcpdump executado em sistemas UNIX, ataques flood UDP e ping flood. Suporta diversos protocolos como IP, TCP, UDP, ICMP, e ethernet frames, com a opção adicional de construção de protocolos usando opções genéricas.

No CD: /software/Seguranca/Linux/Firewall/APSEND/apsend.tar.gz

Dsniff

Para FreeBSD, Linux, NetBSD, OpenBSD e Solaris, dsniff é um simples sniffer de senhas adicionado de algumas ferramentas que são úteis para testes de invasão. Decodifica RIP, OSPF, poppass, Meeting Maker, PostgreSQL e yppasswd.

No CD: /software/Seguranca/Linux/Firewall/Sniffers/Dsniff/dsniff-2.3.tar.gz

Snort

O Snort é uma ferramenta Open Source indispensável na implementação da segurança de um servidor ou servidores em uma rede (e da própria rede em si). Ele é classificado como ferramenta NIDS (Network Intrusion Detection System), que de forma simples, é um sistema que, a partir de um host, analisa pacotes que trafegam em uma rede de pequeno ou médio porte, comparando tais pacotes com um banco de dados baseado em regras pré-estabelecidas (ruleset), que geralmente são assinaturas de comportamento ou ação de diversos tipos de ataques conhecidos, gerando alertas a cada vez que um for detectado. Mas o que são essas “assinaturas”? Assinaturas (forma abrasileirada de “fingerprints”, ou impressões digitais), no caso das regras do Snort, são peculiaridades de um certo ataque ou ação suspeita que o identificam, assim como na vida real sua assinatura ou impressão digital o identificam.

O Snort é considerado uma ferramenta de fácil instalação e utilização até mesmo para o usuário caseiro, porém, ao mesmo tempo, possui diversas opções de configuração que o adaptam às mais variadas situações e tipos de rede.

No CD: /software/Seguranca/Linux/IDS/Snort/snort-1.8.1-RELEASE.tar.gz

Observações: No diretório /Pacotes_Linux/IDS/Snort/dependencia você encontrará a última versão da biblioteca Libpcap (necessária ao Snort), caso não a tenha instalada em seu sistema, assim como no diretório /Pacotes_Linux/IDS/Snort/regras encontrará as últimas regras/bancos de assinaturas disponibilizadas pela Snort.org, no momento em que escrevemos este artigo.

GnuPG

O GNU Privacy Guard (GnuPG) é uma ferramenta GNU para segurança na comunicação e armazenamento de dados. É um substituto livre e completo do PGP, e pode ser utilizado na criptografia de dados e criação de assinaturas digitais.

No CD:/software/Seguranca/Linux/Criptografia/GnuPG/gnupg-1.0.6.tar.gz

PinePGP

PinePGP adiciona ao conhecido MUA Pine filtros de suporte ao PGP e GnuPG, permitindo o envio e recebimento de mensagens criptografadas. São suportadas as versões 2.6.x, 5.x e 6.5 do PGP, e 1.0.0, ou superior, do GnuPG.

No CD: /software/Seguranca/Linux/Criptografia/pinepgp-0.17.1.tar.gz

FreeSWAN

Linux FreeS/WAN oferece extensões IPSEC (IP Security, que é tanto criptografia quanto autenticação) ao kernel e IKE, além de diversos scripts rc e documentação. Sabe-se que pode operar em conjunto com sistemas IPSEC e IKE de outros fornecedores como OpenBSD.

No CD: /software/Seguranca/Linux/Criptografia/FreeSWAN/freeswan-1.91.tar.gz

Bastille Linux

Bastille Linux é um dos programas para fortalecimento de segurança em sistemas Red Hat 6.0 a 7.1 e Mandrake 6.0 e 8.0. de mais fácil utilização. São diversos scripts (a maioria desenvolvida em Perl) baseados em ncurses com o intuito de facilitar a tarefa de fortificação de segurança de um sistema Linux pré-instalado. Todas as tarefas que podem ser executadas pelo script são opcionais, tornando o Bastille muito flexível. Seu processo de instalação tenta educar o administrador de sistema sobre cada tópico de segurança abordado pelas várias partes do script. Se você utiliza Red Hat ou Mandrake, esta ferramenta é obrigatória!

No CD: /software/Seguranca/Linux/Hardening/Bastille

Algumas dependências encontram-se em /software/Seguranca/Linux/dependencias

GnomePGP

GnomePGP é um frontend/widget PGP para o GNOME. GnomePGP utiliza o GNU Privacy Guard (/software/Seguranca/Linux/Criptografia/GnuPG) para realizar criptografia, permitindo também a manipulação e gerenciamento de chaves, assinaturas e arquivos criptografados.

No CD: /software/Seguranca/Linux/Criptografia/GnomePGP/gpgp-0.4.tar.gz

SpamAssassin

SpamAssassin é um filtro de emails que utiliza a análise de padrões de texto para identificar SPAM. Uma vez identificado, o email pode ser opcionalmente marcado como SPAM para filtragem posterior utilizando mecanismos de seu próprio MUA. O SpamAssassin também oferece uma ferramenta de linha de comando para filtragem utilizando módulos PERL próprios, permitindo que o mesmo possa ser usado como proteção anti-spam em servidores proxy POP/IMAP.

No CD: /software/Seguranca/Linux/Email/SpamAssassin/Mail-SpamAssassin-1.3.tar.gz

PortSentry

PortSentry é parte do projeto Abacus (www.psionic.com/abacus), desenvolvido com o objetivo de detectar e realizar ações em tempo real frente a portscans realizados contra seu sistema. Quando um portscan é detectado, a ferramenta pode responder de acordo com sua configuração, registrando a tentativa em logs, bloqueando o host agressor de forma simples através do TCP_WRAPPERS ou ainda através de seu filtro de pacotes local (podendo também fazê-lo através da adição de rotas locais, tornando a comunicação entre agressor e vítima impossível de ser realizada). O PortSentry tem a capacidade de realizar detecção de diversos tipos de portscans, incluindo Stealth Scan e é uma ferramenta de simples configuração, que pode ser utilizada em poucos minutos pelo administrador do sistema. Um artigo/receita a respeito da utilização do mesmo em português pode ser lido através de www.linuxsecurity.com.br/renato/antiscan.html

No CD: /software/Seguranca/Linux/IDS /PortSentry/portsentry-1.1.tar.gz

rcf

rc.firewall (rcf) é um script para firewall baseado em IPChains com grande suporte a serviços de rede (incluindo NFS, IPSecc, VPN, Proxy, etc), masquerading, port forwarding (incluindo definições para jogos em rede), e IP accounting. As proteções do script incluem anti-spoofing, vários DoS, ataques smurf, portscans e muito mais. Diversas interfaces de rede também são suportadas pelo script.

No CD: /software/Seguranca/Linux/Firewall/rcf/rcf-5.2.tar.gz

Exiscan

Exiscan é um virus scanner que trabalha em conjunto com o MTA (Mail Transport Agent) Exim. Foi desenvolvido em PERL, visando ser tão leve e sutil quanto possível. O Exiscan depende do uvscan da McAffee ou do vscan da Trend Micro para fazer seu trabalho de varredura à procura de vírus. O que a ferramenta tem de especial é que não re-envia as mensagens após o scan, tornando o processo algo transparente ao MTA e requerendo alterações mínimas na configuração do Exim.

No CD:/software/Seguranca/Linux/Email/Exiscan/exiscan-v2.3.tar.gz

Anomy-sanitizer

Anomy mail sanitizer é um filtro designado para bloquear problemas de segurança relacionados a e-mail, como trojans e vírus. Pode executar varreduras em mensagens (RFC822, MIME), remover ou renomear arquivos anexados, truncar campos de cabeçalho muito longos (MIME) e tornar mensagens HTML mais seguras, desabilitando Javascript, entre outros recursos. Possui suporte built-in para diversos vírus scanners de terceiros.

No CD: /software/Seguranca/Linux/Email/Anomy-sanitizer/anomy-sanitizer-1.35.tar.gz

Distributed Checksum Clearinghouse

O Distributed Checksum Clearinghouse (DCC) é um sistema de clientes e servidores que coletam e calculam checksums relacionados a emails. Os dados podem ser utilizados por servidores SMTP e MUA's para detectar e rejeitar SPAM. Os servidores DCC podem também realizar a troca de checksums entre si.

No CD: /software/Seguranca/Linux/Email/DistributedChecksumClearinghouse/dccd.tar.Z

Atualizações

As versões encontradas no CD são as últimas lançadas até fechamento desta edição. Versões mais atuais poderão ser encontradas nos sites de cada ferramenta e no portal Linux Security Brasil (www.linuxsecurity.com.br)

Nota

Lembramos que os softwares contidos no CD são fornecidos sem qualquer tipo de suporte técnico, seja pela Conectiva S.A., Revista do Linux ou pela LinuxSecurity Brasil. Fica o uso/instalação destes programas, e eventuais riscos decorrentes deste processo, sob total responsabilidade do usuário. Eventuais problemas físicos com a mídia (CD) devem ser reportados ao nosso serviço de atendimento ao cliente, que pode ser contatado através do sac@RevistaDoLinux.com.br

Renato Murilo Langona
renato@linuxsecurity.com.br

colaborou:

Rafael Rigues
rigues@RevistaDoLinux.com.br