Administração de redes com Webmin

O que é
O Webmin é uma ferramenta de administração de sistemas operacionais GNU/Linux
com uma interface web, proporcionando uma amigável interface com o usuário e substituindo a
linha de comando.
Para fornecer uma interface administrativa, o Webmin conta com uma gama de scripts
PERL e CGI que interagem diretamente com os serviços do sistema(DNS, FTP, etc). Como ele
conta com uma estrutura modular, novos scripts podem ser escritos e adicionados.

Instalando
Para instalar o Webmin no Debian é preciso adicionar um link à lista de respositórios. O
link é:
deb http://download.webmin.com/download/repository sarge contrib
Após adicionar ao /etc/apt/sources.list é só dar um apt-get update.
Feito isso, é só baixar o programa usando o apt:
apt-get install webmin

Acessando pelo browser

O webmin é instalado por padrão utilizando o protocolo https e a porta 10000. Para
acessá-lo, depois de instalado, vá ao navegador e insira o endereço https://localhost:10000

Deixando o Webmin em português

O Webmin também está disponível em PT-BR, é só ir em Webmin > Configuration >
Languages

Instalando módulos
Se o sistema estiver sem nenhum serviço instalado, o Webmin só mostrará as funções
básicas do sistema. Para instalar novos módulos é só listar os módulos disponíveis na guia
“módulos não utilizados” e selecionar o módulo desejado.

Conteúdo escrito e organizado por Ravi Resck Página 1

 Segurança de Redes

Como um hacker age e pensa

Para qualquer analista de segurança da informação, é importante saber pensar como um
hacker antes de começar a empreitar os mecanismos de defesa. Em grandes empresas, muitos
hackers são contatados só para procurar brechas na segurança da rede. E muitos analistas de
segurança são hackers renomados.
Este artigo não tem a intenção de se aprofundar no assunto de técnicas de invasão, mas
pode lhe fornecer uma boa base para começar a pesquisar sobre o assunto. Não pretendo cair em
celeumas quanto aos termos hacker, cracker, blackhat e whitehat. Aqui o invasor será tratado como
um hacker independente de suas intenções.
Bom, primeiramente, é preciso pensar em qual seria o sistema preferido dos hackers. Os
filmes sobre o assunto e a web já espalham o senso comum de que o Linux é o mascote dos hackers,
e isso não é bem uma mentira. O Linux, por oferecer uma interação de alto nível entre o usuário, o
sistema e a máquina, acaba sendo a predileção dos invasores. Mas dentre as milhares distribuições
que existem por aí, duas se destacam no quesito de informática forense, ou seja, invasão.
Backtrack: o Back Track, que se encontra na sua versão de número 4 é atualmente o
sistema mais utilizado para executar ataques. É um sistema robusto, rodando o KDE, que conta com
milhares de ferramentas compiladas com o sistema para scanear e exploitar diversos tipos de
sistemas e aplicativos. O sistema pode ser encontrado no site dos representates oficiais no brasil:
www.backtrack.com.br
Damn Vulnerable Linux: O DVL é uma distribuição que precedeu o Bt4, e além de
contar com milhares de ferramentas, foi intencionalmente tornado vulnerável para fins de estudo de
vulnerabilidades, funcionando com uma verdadeira escola de pen-testers.
Todas as ferramentas que existem no BackTrack podem ser encontradas na web e
instaladas separadamente em uma distro linux. A diferença é que essa distribuição já vem com todos
esses aplicativos instalados.
Tendo falado do sistema operacional, podemos começar a definir que tipo de
informação os hackers vão atrás para executar um ataque. O que realmente pode comprometer a
segurança de um servidor. Lembrando que irei ressaltar apenas os aspectos principais, para um
maior aprofundamento existe o oráculo google.
Portas: As portas são informações cruciais para um invasor. Todo aplicativo se
comunica com o mundo através de números de portas(TCP ou UDP), e se essas portas não
estiverem devidamente protegidas um invasor pode facilmente se aproveitar e conseguir acesso
remoto à máquina ou outros tipos de informações.
Sistema operacional: Essa informação é valiosíssima. Ao descobrir qual é a versão do
kernel ou o sistema operacional em questão, o hacker pode preparar seu set de rootkits para obter
acesso de super-usuário no servidor.
Aplicativos com bugs: Existem muitas listas de bugtrack na web que podem ajudar um
hacker a invadir seu servidor a partir de um aplicativo que tem uma falha não corrigida. A maioria
dos apps que se comunicam com a internet oferecem risco à segurança da rede.

Conteúdo escrito e organizado por Ravi Resck Página 2

Ferramentas utilizadas por Hackers
Exploit: O exploit é um programa binário que explora uma falha. Esse programa é
escrito para uma vulnerabilidade específica, e só pode ser utilizado com a mesma.
Backdoor: O backdoor, do inglês, significa literalmente porta dos fundos. É um
programa que tem o intuito de abrir uma porta no servidor para que o invasor acesse-o
remotamente. Existem muitos backdoors por aí, o famoso r0nin é um exemplo.
Rootkit: Esse é um binário que tem a função de conseguir o acesso root na máquina. É
escrito de acordo com a versão do kernel.
Scanners: Scanners de vulnerabilidades são muito populares hoje em dia. Existem
empresas que trabalham dia e noite desenvolvendo scanners com extensos bancos de dados de
vulnerabilidades. Aqui iremos falar do Nmap e do Nessus.

O Nmap
O Nmap é um poderoso scanner de portas e muito popular entre analistas e invasores.
Veja alguns dos seus parâmetros de varredura(irei comentar os que julguei mais
relevantes para o artigo, lembrando que o google está aí para maiores aprofundamentos).
-sP Ping scan: Algumas vezes é necessário saber se um determinado host ou rede está
no ar. Nmap pode enviar pacotes ICMP “echo request” para verificar se determinado host ou rede
está ativa. Hoje em dia, existem muitos filtros que rejeitam os pacotes ICMP “echo request”, então
envia um pacote TCP ACK para a porta 80 (default) e caso receba RST o alvo está ativo. A terceira
técnica envia um pacote SYN e espera um RST ou um SYN-ACK.
-sS TCP SYN SCAN: Técnica também conhecida como “half-open”, pois não abre uma
conexão TCP completa. É enviado um pacote SYN, como se ele fosse uma conexão real e aguarda
uma resposta. Caso um pacote SYN-ACK seja recebido, a porta está aberta, enquanto um RST
como resposta indica que a porta está fechada. A vantagem dessa abordagem é que poucos irão
detectar esse scanning de portas.
-P0 : Não tenta pingar o host antes de iniciar a varredura. Isto permite varrer alvos que
bloqueiam ICMP “echo request (ou responses)” através de um firewall.
-O : Ativa a identificação do host remoto via TCP/IP. Irá apresentar versão do sistema
operacional e tempo ativo.

O Nessus
O Nessus é um famoso scanner de vulnerabilidades tanto web como estruturais. Pode
ser utilizado para descobrir muitas brechas em sites alheios. Vale a pena pesquisar sobre.

O Metasploit Framework
O metasploit framework é um conjunto de exploits, rootkits e backdoors reunidos em
um único aplicativo. Esse aplicativo tem diversas funcionalidades, fornecendo acesso remoto ao
invasor e até mesmo mecanismos de gravação do que o usuário digita. É uma ferramenta
amplamente utilizada por hackers e analistas e não pretendo discorrer mais do que isso sobre esse
aplicativo. Mas realmente vale muito a pena pesquisar sobre o mesmo.

Conteúdo escrito e organizado por Ravi Resck Página 3

 Configurando um Firewall
Aqui irei abordar as principais configurações que devem estar contidas em um Firewall.
Essa seção exige um conhecimento prévio de Iptables e tem como objetivo fornecer uma base para
futuras configurações no Webmin.
Ativando syn cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Liberando trafico em interface loopback
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT
iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP
SSH Restrito com liberação a apenas um HOST (192.168.22.33)
iptables -A INPUT -s 192.168.22.33 -p tcp –dport 22 -j ACCEPT
Liberação de Portas via módulo multiport
iptables -A INPUT -p tcp -m multiport --dport 21,22,25,53,80,100. -j ACCEPT
Bloqueio a syn flood via módulo limit
iptables -A FORWARD -p tcp –syn -m limit --limit 1/s -j ACCEPT
Bloqueio a scanners Ocultos(Stealth Scan)
iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j
ACCEPT
Bloqueio a Pacotes Suspeitos ou Danificados
iptables -A FORWARD -m unclean -j DROP
Bloqueio a pacotes ICMP (pings)
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
Redirecionamento de Host de Destino (DNAT)
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to xx.xxx.x.xxx.x
Alteração de Endereço de Origem
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to xx.xx.x.xx
Priorização a serviço Ftp (TOS)
iptables -t mangle -A PREROUTING -i eth0 -p tcp –sport 21 -j TOS --set-tos 16
Abrindo portas para serviço POP3
iptables -A INPUT -j ACCEPT -p tcp --dport 110
Redirecionando conexões FTP para o host 10.0.0.1
iptables -A FORWARD -j ACCEPT -p tcp --dport 81
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT –to 10.0.0.1:21

Conteúdo escrito e organizado por Ravi Resck Página 4