<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//pt_BR">
<HTML>
<HEAD>
 <META http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
 <META NAME="GENERATOR" CONTENT="lfparser_2.17">
 <META NAME="LFCATEGORY" CONTENT="System Administration">
<!-- this is used be a number of tools:
 =LF=AUTHOR: Georges     Tarbouriech
 =LF=CAT___: System Administration
 =LF=TITLE_: Psionic Portsentry 1.1, o defensor das portos
 =LF=NUMBER: 214
 =LF=ANAME_: article214.shtml
 -->
 <TITLE>lf214, System Administration: Psionic Portsentry 1.1, o defensor das portos</TITLE>
<!-- stylesheet added by lfparser: --> 
<style type="text/css">
<!--
 td.top {font-family: Arial,Geneva,Verdana,Helvetica,sans-serif; font-size:12 }
 pre { font-familiy:monospace,Courier }
 p.cl { color:#EE9500 }
 a.nodec { text-decoration:none }
 p.trans { font-size:8pt; text-align:right }
 p.clbox { width:50%; alignment:center; background-color:#FFD700; border-style:none; border-width:medium; border-color:#FFD700; padding:0.5cm ;  text-align:center }
 p.foot { background-color:#AAAAAA; color:#FFFFFF; border-style:none; border-width:medium; border-color:#AAAAAA; padding:0.5cm ; margin-top:0.1cm; margin-right:1cm; margin-left:1cm; text-align:center }
-->
</style>
 
</HEAD>
<BODY bgcolor="#ffffff" text="#000000">
 <!-- this is generated html code. NEVER use this file for your
 translation work. Instead get the file with the same article number
 and .meta.shtml in its name. Translate this meta file and then
 use lfparser program to generate the final article -->
 <!-- lfparser can be obtained from http://www.linuxfocus.org/~guido/dev/lfparser.html -->

<!-- 2pdaIgnoreStart -->

<!-- start navegation bar -->
 <!-- top navegation bar -->
 <TABLE cellspacing="0" cellpadding="0" border="0" align="center" width="90%">
   <TR bgcolor="#2e2292">
     <TD class="top"><TABLE cellspacing="0" cellpadding="0" border="0" width=
       "100%">
         <TR><TD width="144"><IMG src="../../common/images/logolftop.gif"
           alt="[LinuxFocus-icon]" width="350" height="45" align="left" 
           border="0"></TD>

           <TD class="top">
             <TABLE width="100%">
               <TR align="right">
                 <TD class="top"><A class="nodec" href="../index.shtml"><FONT color=
                 "#DDDDDD">In&iacute;cio</FONT></A> &nbsp;|&nbsp; <A class=
                 "nodec" href="../map.html"><FONT color=
                 "#DDDDDD">Mapa</FONT></A> &nbsp;|&nbsp; <A class=
                 "nodec" href="../indice.html"><FONT color=
                 "#DDDDDD">&Iacute;ndice</FONT></A> &nbsp;|&nbsp; <A class="nodec" href="../Search/index.shtml"><FONT color=
                 "#DDDDDD">Procura</FONT></A> </TD>
               </TR>

               <TR align="right">
                 <TD class="top">
                   <HR width="100%" noshade size="1">
                 </TD>
               </TR>
             </TABLE>
           </TD>
         </TR>
       </TABLE>
     </TD>
   </TR>
 </TABLE>
 <!-- end top navegation bar -->
 <!-- blue bar -->
 <TABLE cellspacing="0" cellpadding="0" border="0" align="center"
 width="90%">
   <TR bgcolor="#00ffff">
     <TD><IMG src="../../common/images/transpix.gif" width="1" height=
     "2" alt=""></TD>
   </TR>
 </TABLE>
 <!-- end blue bar -->
 <!-- bottom navegation bar -->
 <TABLE cellspacing="0" cellpadding="0" border="0" align="center"
 width="94%">
   <TR bgcolor="#000000">
     <TD>
       <TABLE cellspacing="0" cellpadding="1" border="0" width=
       "100%">
         <TR align="center">
           <TD><A class="nodec" href="../News/index.shtml"><FONT color=
           "#FFFFFF">Novidades</FONT></A> </TD>
           <TD><FONT color="#FFFFFF">|</FONT> </TD>
           <TD><A class="nodec" href="../Archives/index.html"><FONT color=
           "#FFFFFF">Arquivos</FONT></A> </TD>
           <TD><FONT color="#FFFFFF">|</FONT> </TD>
           <TD><A class="nodec" href="../Links/index.shtml"><FONT color=
           "#FFFFFF">Links</FONT></A> </TD>
           <TD><FONT color="#FFFFFF">|</FONT> </TD>
           <TD><A class="nodec" href="../aboutus.html"><FONT color=
           "#FFFFFF">Sobre LF</FONT></A> </TD>
         </TR>
       </TABLE>
     </TD>
   </TR>
 </TABLE>
 <!-- end bottom navegation bar -->
<!-- stop navegation bar -->

<!-- SSI_INFO -->

<!-- tr_staticssi include virtual -->
<!-- tr_staticssi exec cmd -->
<!-- addedByLfdynahead ver 1.4 --><TABLE ALIGN="right" border=0><TR><TD ALIGN="right"><FONT SIZE="-1" FACE="Arial,Helvetica">Este artigo est&aacute; dispon&iacute;vel em: <A href="../../English/September2001/article214.shtml">English</a> &nbsp;<A href="../../Castellano/September2001/article214.shtml">Castellano</a> &nbsp;<A href="../../Deutsch/September2001/article214.shtml">Deutsch</a> &nbsp;<A href="../../Francais/September2001/article214.shtml">Francais</a> &nbsp;<A href="../../Italiano/September2001/article214.shtml">Italiano</a> &nbsp;<A href="../../Nederlands/September2001/article214.shtml">Nederlands</a> &nbsp;<A href="../../Portugues/September2001/article214.shtml">Portugues</a> &nbsp;<A href="../../Russian/September2001/article214.shtml">Russian</a> &nbsp;<A href="../../Turkce/September2001/article214.shtml">Turkce</a> &nbsp;</FONT></TD></TR></TABLE><br>
 

<!-- 2pdaIgnoreStop -->

<!-- SHORT BIO ABOUT THE AUTHOR -->
<TABLE ALIGN=LEFT BORDER=0 hspace=4 vspace=4 WIDTH="30%" >
<TR>
<TD>

<!-- 2pdaIgnoreStart -->
<!-- PALM DOC -->
<TABLE BORDER=0 hspace=4 vspace=4> <TR> <TD>
<font size=1> <img src="../../common/images/2doc.gif" width=34 align=left border=0 height=22 alt="convert to palm"><a href="http://cgi.linuxfocus.org/cgi-bin/2ztxt">Convert to GutenPalm</a><br>or <a href="http://cgi.linuxfocus.org/cgi-bin/2pda">to PalmDoc</a></font>
</TD> </TR> </TABLE>
<!-- END PALM DOC -->
<!-- 2pdaIgnoreStop -->
<br>
<IMG src="../../common/images/Georges-Tarbouriech.jpg" alt=
    "[Photo of the Author]" height="124" width="115">
<BR>por  <A href="mailto:georges.t&#64;linuxfocus.org">Georges     Tarbouriech</A>
<BR><BR>
<I>Sobre o autor:</I><BR>
<P>O George &eacute; j&aacute; um utilizador do Unix de h&aacute; longa data. Acredita que a
seguran&ccedil;a dos computadores &eacute; um dos maiores desafios deste s&eacute;culo.<BR></P>
<BR><i>Conte&uacute;do</i>:
<UL>
  <LI><A HREF="#214lfindex0">Porqu&ecirc; utilizar o portsentry ?</A></LI>
  <LI><A HREF="#214lfindex1">Como instalar o portsentry ?</A></LI>
  <LI><A HREF="#214lfindex2">Como &eacute; que o portsentry trabalha ?</A></LI>
  <LI><A HREF="#214lfindex3">O que &eacute; acontece a seguir ?</A></LI>
  <LI><A HREF="#214lfindex4">Pode viver sem o portsentry ?</A></LI>
  <LI><A HREF="#214lfindex5">Refer&ecirc;ncias</A></LI>
  <LI><A HREF="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=214&lang=pt">Forma de respostas para este artigo</A></LI>
</UL>

</TD></TR></TABLE>
<!-- HEAD OF THE ARTICLE -->
<br>&nbsp;
<H2>Psionic Portsentry 1.1, o defensor das portos</H2>
 <IMG src="../../common/images/illustration214.jpg"
    hspace="10" width="241" height="180" alt="[illustration]">
<!-- ABSTRACT OF THE ARTICLE -->
<P><i>Abstrato</i>:
<P>
<P>
    O Psionic portsentry faz parte do conjunto de utilit&aacute;rios do projecto
Abacus (al&eacute;m do portsentry, o conjunto tamb&eacute;m oferece o logcheck e o hostsentry).
    &Eacute; um IDS (Sistema de Detec&ccedil;&atilde;o de Intrusos) dedicado &agrave; detec&ccedil;&atilde;o de
portos e defesa activa. Trabalha em muitos sabores do Unix incluindo o Mac
OS X. A principal caracter&iacute;stica de um IDS &eacute; a de informar o administrador
de sistema acerca da tentativa de intrus&atilde;o. A Portsentry vai ainda mais
longe visto que pode mesmo reagir a um ataque. A &uacute;ltima vers&atilde;o deste
utilit&aacute;rio (1.1) est&aacute; dispon&iacute;vel em <A href=
    "http://www.psionic.com">http://www.psionic.com</A>, e al&eacute;m disso, a
vers&atilde;o 1.0 j&aacute; faz parte da maioria das distribui&ccedil;ões de Linux (Debian,
RedHat...).</P></P>
<HR size="2" noshade align="right"><BR>
<!-- BODY OF THE ARTICLE -->


    <A NAME="214lfindex0">&nbsp;</A>
<H2>Porqu&ecirc; utilizar o portsentry ?</H2>


    <P>Durante a &uacute;ltima d&eacute;cada, as redes cresceram a uma velocidade
incr&iacute;vel. O objectivo era o de permitir a comunica&ccedil;&atilde;o entre m&aacute;quinas usando
diferentes Sistemas Operativos. Al&eacute;m disso os sistemas propriet&aacute;rios de
redes foram lentamente, substitu&iacute;dos pelo TCP/IP. A Internet fez o resto !
Hoje muitas das redes assentam no TCP/IP e o TCP/IP assenta em portos. Para
ser breve, os portos est&atilde;o associados a programas (clientes ou servidores).
O servidor escuta at&eacute; que um cliente o contacte para estabelecer uma
liga&ccedil;&atilde;o. Os servi&ccedil;os (programas acima referenciados) s&atilde;o mapeados para uma
porto espec&iacute;fico. Nos Sistemas Unix, o mapa com este sistema encontra-se no
ficheiro /etc/services. Ou seja, toda a gente sabe a correspond&ecirc;ncia entre
as portos e os servi&ccedil;os. Se toda a gente sabe, os piratas ainda o sabem
melhor ! Se considerarmos um porto como uma porta, quando um porto est&aacute;
aberto (&agrave; escuta), &eacute; como uma porta destrancada. E como &eacute; que entra dentro
de casa ? Normalmente atrav&eacute;s da porta (a n&atilde;o ser que prefira a janela, mas
isso &eacute; consigo !). E os de "chap&eacute;u preto" fazem o mesmo para entrar dentro
do seu computador...
    <br>
    A primeira coisa a fazer para reduzir o risco &eacute; fechar o m&aacute;ximo de
portos quanto poss&iacute;vel, ou seja parar os servi&ccedil;os. Quanto menos melhor. Mas
muito dificilmente consegue fechar todas as portos numa m&aacute;quina em rede : a
mesma n&atilde;o comunicaria mais, o que seria uma pena !
    <br>
    Como limitar o n&uacute;mero de servi&ccedil;os activos ou como fechar as portos est&aacute;
para al&eacute;m do alcance deste artigo. Encontrar&aacute; muita informa&ccedil;&atilde;o acerca do
assunto, se for por exemplo at&eacute; ao <A href=
    "http://www.linuxdoc.org">Linux Documentation Project</A> ou procurando
atrav&eacute;s das edi&ccedil;ões da LinuxFocus (por exemplo, <a
href="../September2000/article166.shtml">Bastille Linux</a> ou <a
    href="../January2001/article180.shtml">Utilit&aacute;rios de Seguran&ccedil;a</a>).
Ent&atilde;o para os diferentes modos de proteger uma m&aacute;quina, uma rede aplica-se
o mesmo. No Linux considere de refer&ecirc;ncia obrigat&oacute;ria <A href=
    "http://www.bastille-linux.org">Bastille Linux</A>.
    <br>
    E &eacute; aqui que o portsentry entra. O Portsentry pode monitorizar portos e
&eacute; capaz de bloque&aacute;-los se lhe pedir para o fazer. Providencia-lhe
diferentes modos de opera&ccedil;&atilde;o, alguns espec&iacute;ficos de alguns SO. Por acaso,
SO significam Linux aqui.
    <br>
    O Portsentry &eacute; capaz de beneficiar da filtragem de pacotes feita pelo
ipfwadm, ipchains ou iptables segundo o Kernel de Linux que possuir. Isto
tamb&eacute;m &eacute; verdade para outros sabores de Unix usando diferentes utilit&aacute;rios
(falaremos disto mais tarde). Aqui estamos : o portsentry possui,
uma caracter&iacute;stica essencial &eacute; "auto-bloqueador".
    <br>
    Como &eacute; que ele consegue ? Onde vamos n&oacute;s !
    </P>

    <A NAME="214lfindex1">&nbsp;</A>
<H2>Como instalar o portsentry ?</H2>

    <p>
    O Portsentry vem como um pequeno ficheiro tar. Depois de descomprimir o arquivo,
voc&ecirc; obt&eacute;m o c&oacute;digo fonte, os v&aacute;rios ficheiros de configura&ccedil;&atilde;o e os
ficheiros README. Obviamente que &eacute; recomend&aacute;vel l&ecirc;-los. Visto que estamos a
falar de seguran&ccedil;a, n&atilde;o se esque&ccedil;a de obter os ficheiros PGP (assinatura e
chave).
    <br>
    A instala&ccedil;&atilde;o do portsentry &eacute; &oacute;bvia: make (o vosso sistema) e make
install. Mas, antes da instala&ccedil;&atilde;o, deve prepar&aacute;-la. Ou seja, deve ler a
documenta&ccedil;&atilde;o, alterar o ficheiro portsentry.conf para satisfazer as suas
necessidades e verificar o Makefile bem como o ficheiro portsentry.h.
    <br>
    Para o portsentry ser mais eficaz, precisa de, pelo menos, TCPWrappers.
Pelo menos, porque a sua utiliza&ccedil;&atilde;o em conjunto seria melhor como
utilit&aacute;rio de filtragem de pacotes. Claro, que se utiliza o Linux, j&aacute; tem
tudo o que precisa. E acerca dos outros Unices ?
    <br>
    Como test&aacute;mos o portsentry em plataformas diferentes, falemos dos
requisitos.
    <br>
    No MAC OS X, &eacute; como o Linux : est&aacute; tudo l&aacute;. Voc&ecirc; tem TCPWrappers, e
ipfw (a vers&atilde;o BSD). Ent&atilde;o digitando "make osx" far&aacute; a instala&ccedil;&atilde;o.
    <br>
    No Solaris 2.6 (SPARC), n&atilde;o tem TCPWrappers. Pode obt&ecirc;-lo a partir de <a href=
"ftp://ftp.porcupine.org/pub/security">ftp://ftp.porcupine.org/pub/security</a>.
Pode, tamb&eacute;m tentar o IPFilter dispon&iacute;vel em <a href=
"ftp://coombs.anu.edu.au/pub/net/ip-filter/ip-fil3.4.9.tar.gz">ftp://coombs.anu.edu.au/pub/net/ip-filter/ip-fil3.4.9.tar.gz</a>
(mas s&oacute; se tiver um compilador Solaris !!!).
<br>
No Irix 6.5, tamb&eacute;m n&atilde;o tem TCPWrappers. Pode obt&ecirc;-lo como um pacote a
partir de <a href=
"http://freeware.sgi.com/index-by-alpha.html">http://freeware.sgi.com/index-by-alpha.html</a>
Para a filtragem de pacotes voc&ecirc; tem o ipfilterd, que vem com o Irix mas
n&atilde;o instalado por omiss&atilde;o.
<br>
Por &uacute;ltimo, mas n&atilde;o o menos importante, a n&atilde;o ser que encontre um vsnprintf()
a trabalhar n&atilde;o conseguir&aacute; instalar o portsentry no pr&oacute;ximo passo... e eu
n&atilde;o encontrei nenhum !
<br>
Contudo, mais uma vez, voc&ecirc; devia configurar o portsentry antes do
instalar. Bem, mas &eacute; consigo, mas seria melhor entender a sua filosofia
antes de fazer todo o resto... mas &eacute; s&oacute; uma opini&atilde;o !
</p>
<A NAME="214lfindex2">&nbsp;</A>
<H2>Como &eacute; que o portsentry trabalha ?</H2>

<p>
Muito bem, obrigado !
<br>
Mais seriamente, o portsentry assenta em ficheiros de configura&ccedil;&atilde;o. O mais
importante &eacute; o ficheiro portsentry.conf. Este diz ao portsentry como reagir
contra os seus advers&aacute;rios.
<br>
Antes de lidar com este ficheiro, voc&ecirc; precisa de conhecer os diferentes
modos de opera&ccedil;&atilde;o que existem e o que s&atilde;o.
<br>
O Portsentry pode utilizar seis modos diferentes, segundo a op&ccedil;&atilde;o que d&aacute; ao
arranque.
<br>
- A primeira &eacute; a "-tcp" e &eacute; o modo b&aacute;sico. Com esta op&ccedil;&atilde;o o portsentry
restringir&aacute; os portos TCP encontrados no ficheiro de configura&ccedil;&atilde;o na sec&ccedil;&atilde;o
de "configura&ccedil;&atilde;o de portos". Pode restringir at&eacute; um limite de 64 portos.
<br>
- A segunda &eacute; a "-udp" e faz o mesmo que anterior mas para os portos UDP.
<br>
- A terceira &eacute; a "-stcp", o "s" significa stealth (dif&iacute;cil de detectar). A
op&ccedil;&atilde;o e as pr&oacute;ximas s&oacute; est&atilde;o dispon&iacute;veis para Linux. Com a op&ccedil;&atilde;o "-stcp", o portsentry utiliza
sockets para monitorizar os pacotes de entrada, ou seja os portos n&atilde;o est&atilde;o
reservados para nada.
<br>
- A quarta &eacute; a "-sudp" e faz o mesmo que a anterior mas para os portos UDP.
<br>
- A quinta e sexta s&atilde;o "-atcp" e "-audp". S&atilde;o as op&ccedil;ões mais eficazes ("a"
significa avan&ccedil;ado). Utilizando estas op&ccedil;ões o portsentry faz uma lista dos
portos que est&atilde;o &agrave; escuta, TCP e UDP, se seleccionar ambos ele bloqueia a
m&aacute;quina que se ligar a estes portos, excepto se a m&aacute;quina est&aacute; presente no
ficheiro portsentry.ignore.
<br>
Isto est&aacute; mais bem explicado nos ficheiros README que v&ecirc;m com o portsentry.
Assim, n&atilde;o queremos reinventar a roda, ao rescrever a documenta&ccedil;&atilde;o. A
leitura dos ficheiros README &eacute; obrigat&oacute;ria (como habitualmente, sejamos um
pouco fascistas !).
</p>
<strong>Como &eacute; que o portsentry reage ?</strong>
<p>
&Eacute; &oacute;bvio, que o portsentry pode criar logs. Se &eacute; do tipo de administrador de
sistema que n&atilde;o l&ecirc; os logs (azar o seu!), pode utilizar o logcheck em
conjunto com o portsentry. Deste modo, o portsentry envia um email para o
informar acerca de uma tentativa de intrus&atilde;o.
<br>
Ele pode utilizar o ficheiro /etc/hosts.deny para escrever as m&aacute;quinas de
destino, para utilizar com os TCPWrappers.
<br>
A m&aacute;quina local &eacute; capaz de rotear o tr&aacute;fego da rede para uma m&aacute;quina
"morta".
<br>
Por &uacute;ltimo, a m&aacute;quina local pode "eliminar" os pacotes atrav&eacute;s de um
utilit&aacute;rio de filtragem local.
<br>
Agora sabe mais um pouco acerca da filosofia do portsentry, pode ent&atilde;o,
come&ccedil;ar a escrever o ficheiro portsentry.conf.
<br>
- A primeira sec&ccedil;&atilde;o do ficheiro de configura&ccedil;&atilde;o diz respeito aos portos. Aqui
pode escolher os portos a que quer proteger. Lembre-se, que isto &eacute; ignorado
quando utiliza os modos avan&ccedil;ados para o Linux. Tenha cuidado com os portos
que n&atilde;o quer proteger (n&atilde;o protega o porto 6000 se utilizar o X, por
exemplo).
<br>
- A pr&oacute;xima sec&ccedil;&atilde;o, &eacute; para op&ccedil;ões avan&ccedil;ados de detec&ccedil;&atilde;o. Por omiss&atilde;o s&atilde;o
monitorizadas todas os portos abaixo de 1024, quer TCP e UDP. Aqui, pode
tamb&eacute;m excluir os portos que quer ignorar. Isto &eacute; bastante importante para
evitar falsos alarmes e obviamente a cria&ccedil;&atilde;o de logs grandes, especialmente
se utilizar m&aacute;quinas Windos na sua rede. Por exemplo, proteger o porto
111 quando o portmap &eacute; utilizado e as m&aacute;quinas n&atilde;o est&atilde;o discriminadas no
ficheiro portsentry.ignore, seria, obviamente, loucura, pois o portmap tem
por significado servidores RPC, como o NFS, mas foi avisado. Ou seja, o NFS
n&atilde;o &eacute; assim t&atilde;o seguro nas m&aacute;quinas Unix ent&atilde;o imagine-se nas m&aacute;quinas
Windos.

<br>
Aqui vem, normalmente a sec&ccedil;&atilde;o fora de contexto: quando escrevo "Windos",
n&atilde;o &eacute; um tipo : &eacute; s&oacute; para insistir no facto de que o Windows &eacute; um ambiente
por cima do Dos (D de dirty ? -sujo)... e &eacute; menos um caracter a digitar (que
maluco eu sou !). Desculpem a digress&atilde;o.
<br>
- A sec&ccedil;&atilde;o dos ficheiros de configura&ccedil;&atilde;o diz respeito aos ficheiros
utilizados pelo portsentry para definir o seu hist&oacute;rico ou para definir as
m&aacute;quinas a ignorar. Se fizer uma instala&ccedil;&atilde;o por omiss&atilde;o, n&atilde;o altere isto.
<br>
- A sec&ccedil;&atilde;o de configura&ccedil;&atilde;o "miscellaneous" permite-lhe activar, desactivar as procuras
por DNS.
<br>
- A sec&ccedil;&atilde;o com as op&ccedil;ões de resposta &eacute; o cora&ccedil;&atilde;o da configura&ccedil;&atilde;o. &Eacute; aqui
que define como &eacute; que o portsentry reagir&aacute;.
<br>
Primeiro, as op&ccedil;ões a ignorar. Pode escolher para bloquear ou n&atilde;o bloquear
os "scans" ou para correr um comando externo.
<br>
A seguir, na sec&ccedil;&atilde;o de routeamento, diz ao portsentry como eliminar o
routeamento ou como beneficiar de um utilit&aacute;rio de filtragem utilizado na
sua m&aacute;quina. H&aacute; muitos exemplos para variadas plataformas. Escolha uma (e
s&oacute; uma !) que se adeq&ugrave;e &agrave;s suas necessidades.
<br>
- A sec&ccedil;&atilde;o dos TCPWrappers indica se quer escrever para o ficheiro /etc/hosts.deny.
<br>
- A sec&ccedil;&atilde;o dos comandos externos permite-lhes definir o comando a correr
quando uma m&aacute;quina se liga.
<br>
- A sec&ccedil;&atilde;o de valor do "scan trigger" permite-lhe definir o tempo de
reac&ccedil;&atilde;o. Por omiss&atilde;o &eacute; "0" sendo o mais r&aacute;pido logo que &eacute; enviado uma
alarme na primeira tentativa de liga&ccedil;&atilde;o.
<br>
- A &uacute;ltima sec&ccedil;&atilde;o &eacute; apresentar uma mensagem no caso da tentativa de
intrus&atilde;o. N&atilde;o trabalha com os modos "stealth".
<br>
Quando terminar com esta parte, est&aacute; j&aacute; quase tudo feito. De novo para
evitar falsos alarmes ou logs enormes, verifique o ficheiro
portsentry.ignore. Adiciona aqui o endere&ccedil;o da sua rede local com a
respectiva m&aacute;scara, ou os endere&ccedil;os IP de algumas m&aacute;quinas.
<br>
E &eacute; isto! Pode agora fazer "make yoursystem" e "make install". A script de
instala&ccedil;&atilde;o faz todo o trabalho visto que d&aacute; permissões restritivas ao
direct&oacute;rio e aos ficheiros. Agora, &eacute; o suficiente para correr o portsentry
com as op&ccedil;ões da sua escolha. Verifique os logs para ver o que acontece. Se
tudo correu bem o portsentry come&ccedil;ou a correr tornando mais segura a
m&aacute;quina.
</p>
<A NAME="214lfindex3">&nbsp;</A>
<H2>O que &eacute; acontece a seguir ?</H2>

<p>
Utilizando o nmap, voc&ecirc; pode simular um scan a um porto da sua nova m&aacute;quina
segura. (Mais acerca do nmap <a
href="../July2001/article170.shtml">aqui</a>). Esta &eacute; a resposta que obt&eacute;m
: <p><img src="../../common/images/article180/nmapg.jpg" alt="portsentry is
running on the scanned host"></p>
Ou seja, a m&aacute;quina n&atilde;o d&aacute; muita informa&ccedil;&atilde;o ao pirata !
<br>
Normalmente, esta tentativa devia fornecer a vers&atilde;o do sistema operativo e
os portos abertos na m&aacute;quina pesquisada. Este tipo de informa&ccedil;&atilde;o &eacute; muito
&uacute;til para um pirata visto que ele sabe melhor onde atacar e como atacar.
Com o portsentry a correr com um valor do trigger de scan a 0 no modo
avan&ccedil;ado, o bloqueio &eacute; imediato. Correr com um valor de 1 no modo normal, o
pirata teria uma lista de portos abertos e provavelmente o SO a correr na
m&aacute;quina. Mas tentando ligar-se a um conhecido porto aberto falharia. O
portsentry bloqueou o porto ap&oacute;s a primeira tentativa. Simples mas bastante
eficaz !
<br>
Ou seja, se utilizar os TCPWrappers, o endere&ccedil;o IP do atacante fica escrito
no ficheiro /etc/hosts.deny. Se decidir redireccionar para uma m&aacute;quina
"morta", o portsentry &eacute; ainda eficaz mas n&atilde;o o previne de ataques UDP.
<br>
Se tiver utilizar um utilit&aacute;rio de filtragem de pacotes, a m&aacute;quina atacada
elimina os pacotes vindos do atacante atrav&eacute;s deste utilit&aacute;rio.
<br>
Claro, que este &eacute; o melhor meio de beneficiar do poder total do portsentry.
<br>
Mais uma vez, o modo avan&ccedil;ado no Linux &eacute; o ideal. Isto n&atilde;o quer dizer que o
portsentry seja t&atilde;o bom quanto nos outros SOs, tem somente um pouco menos
de "performance"... bem, mas n&atilde;o realmente !
<br>
Para entendermos melhor, verifique os logs procurando diferentes tentativas
de intrus&atilde;o nos v&aacute;rios SOs a correr o portsentry em modos diferentes. Isto
diz tudo !
<br>
Segundo os modos utilizados, os logs forneceram falsos alarmes. Para
melhorar a qualidade da informa&ccedil;&atilde;o, tem de trabalhar a informa&ccedil;&atilde;o no
ficheiro de configura&ccedil;&atilde;o. Ap&oacute;s alguns testes deve obter exactamente o que
deseja.
</p>
<A NAME="214lfindex4">&nbsp;</A>
<H2>Pode viver sem o portsentry ?</H2>

<p>
Definitivamente N&Atilde;O ! Existem imensos IDS, livres ou n&atilde;o. Muitos deles s&atilde;o
bastante bons. Mencionemos o bem conhecido snort, dispon&iacute;vel em
<a href= "http://www.snort.org">http://www.snort.org</a>.
<br>
Normalmente, estes IDSes s&atilde;o passivos. Ou seja, s&atilde;o utilizados para o
informar acerca da intrus&atilde;o. Foram desenhados para tal. Por exemplo, o
snort &eacute; muito sofisticado, visto que se rege em regras de scripts,
permitindo-lhe escrever as suas pr&oacute;prias regras. O website da snort fornece
tamb&eacute;m uma base de dados com regras. E al&eacute;m disso, se n&atilde;o tiver medo de
logs enormes, pode correr quer o portsentry e o snort. N&atilde;o &eacute; assim t&atilde;o
est&uacute;pido !
<br>
Contudo, a for&ccedil;a do portsentry &eacute; que um IDS activo. O modo como pode
reagir e de cortar a respira&ccedil;&atilde;o. Combin&aacute;-lo com um utilit&aacute;rio de filtragem
de pacotes &eacute; obrigat&oacute;rio. Podemos formular a quest&atilde;o : Ser&aacute; o portsentry o
complemento de um utilit&aacute;rio de filtragem de pacotes ou vice-versa ?
<br>
De qualquer modo, existe ainda muito por dizer acerca do portsentry. Por
exemplo, deve ter bastante cuidado com o modo avan&ccedil;ado scan de detec&ccedil;&atilde;o
UDP. Leia a documenta&ccedil;&atilde;o (novamente!) para entender os problemas
relacionados ao UDP. Os Solaris podem tamb&eacute;m causar alguns problemas,
visto utilizar intervalos de portos (32700) muito elevados (quer TCP e
UDP). Mas este artigo &eacute; s&oacute; uma breve revis&atilde;o e n&atilde;o uma completa revis&atilde;o de
este grande peda&ccedil;o de software.
<br>
A seguran&ccedil;a de computador &eacute; uma preocupa&ccedil;&atilde;o, e n&atilde;o s&oacute; para os
administradores de sistema. O crescimento inacredit&aacute;vel da Internet ainda
complica mais as coisas. Ou seja, o perigo de intrus&atilde;o &eacute; cada dia maior. A
comunidade de software livre fornece utilit&aacute;rios excelentes : o portsentry
&eacute; um deles. N&atilde;o os deixe de lado ! Mas lembre-se que estes utilit&aacute;rios s&oacute;
reduzem o risco e n&atilde;o lhe fornecem de qualquer modo um sistema 100% seguro.
Isto &eacute; outra raz&atilde;o para investigar na &aacute;rea de utilit&aacute;rios de seguran&ccedil;a.
<br>
Por &uacute;ltimo, mas n&atilde;o o menos importante, as pessoas no Psionic est&atilde;o a
trabalhar num produto comercial dizendo-nos que n&atilde;o ficaremos
"desapontados". Espere e veja, depois !
<br>
Entretanto, v&aacute; e obtenha o 1.1, n&atilde;o ficar&aacute; desapontado tamb&eacute;m. As pessoas
no Psionic est&atilde;o a fazer um trabalho excelente. Al&eacute;m disso o hostentry &eacute;
digno de ser testado... e utilizado.
<br>
Estamos a viver num tempo excelente, n&atilde;o estamos ?
</p>
<A NAME="214lfindex5">&nbsp;</A>
<H2>Refer&ecirc;ncias</H2>

<p>
Os websites que se seguem s&atilde;o refer&ecirc;ncias obrigat&oacute;rias quando se trata de
seguran&ccedil;a. E, eles conduzem-no a mais websites, e estes a mais... Voc&ecirc;
sabe, os recenseamentos Russos ? O &uacute;nico problema &eacute; que s os quiser ler todos n&atilde;o
viver&aacute; tempo suficiente !!!
<br>
<a href=
"http://www.linuxsecurity.com">http://www.linuxsecurity.com</a>
<br>
<a href="http://www.sans.org">http://www.sans.org</a>
<br>
<a href="http://www.infosyssec.org">http://www.infosyssec.org</a>
<br>
<a href=
"http://www.securityfocus.com">http://www.securityfocus.com</a>
<br>
<a href=
"http://www.cs.purdue.edu/coast/hotlist/">http://www.cs.purdue.edu/coast/hotlist/</a>
</p>
<!-- vim: set sw=2 ts=2 et: -->
  



<!-- 2pdaIgnoreStart -->
<A NAME="talkback">&nbsp;</a>
<h2>Forma de respostas para este artigo</h2>
Todo artigo tem sua pr&oacute;pria p&aacute;gina de respostas. Nesta p&aacute;gina voc&ecirc; pode enviar um coment&aacute;rio ou ver os coment&aacute;rios de outros leitores:
<center>
<table border="0"  CELLSPACING="2" CELLPADDING="1">
 <tr BGCOLOR="#C2C2C2"><td align=center>
  <table border="3"  CELLSPACING="2" CELLPADDING="1">
   <tr BGCOLOR="#C2C2C2"><td align=center>
    <A href="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=214&lang=pt"><b>&nbsp;p&aacute;gina de respostas&nbsp;</b></a>
   </td></tr></table>
</td></tr></table>
</center>

<HR size="2" noshade>
<!-- ARTICLE FOOT -->
<CENTER><TABLE WIDTH="95%">
<TR><TD ALIGN=CENTER BGCOLOR="#9999AA">
<A HREF="../../common/lfteam.html">P&aacute;ginas Web mantidas pelo time de Editores LinuxFocus</A>
<BR><FONT COLOR="#FFFFFF">&copy; Georges     Tarbouriech, <a href="../../common/copy.html">FDL</a> <BR><a href="http://www.linuxfocus.org">LinuxFocus.org</a></FONT>
<BR><a href="http://cgi.linuxfocus.org/cgi-bin/lfcomment?lang=pt&article=article214.shtml" target="_TOP">Clique aqui para reportar uma falha ou para enviar um coment&aacute;rio para LinuxFocus</A><BR></TD>
<TD BGCOLOR="#9999AA"><!-- TRANSLATION INFO -->
<font size=2>Informa&ccedil;&atilde;o sobre tradu&ccedil;&atilde;o:</font><TABLE>
<tr><td><font size=2>en</font></td>
    <td><font size=2>-&gt;</font></td>
    <td><font size=2>--</font></td>
    <td><font size=2><a href="mailto:georges.t&#64;linuxfocus.org"><FONT COLOR="#FFFFFF">Georges     Tarbouriech</FONT></a></font></td>
</tr>
<tr><td><font size=2>en</font></td>
    <td><font size=2>-&gt;</font></td>
    <td><font size=2>pt</font></td>
    <td><font size=2><a href="mailto:bruno&#64;linuxfocus.org"><FONT COLOR="#FFFFFF">Bruno Sousa</FONT></a></font></td>
</tr>
</TABLE></TD>
</TR></TABLE></CENTER>
<p><font size=1>2001-10-13, generated by lfparser version 2.17</font></p>
<!-- 2pdaIgnoreStop -->
</BODY>
</HTML>