Arquivo 2011

MSN – Bloqueio

O MSN Messenger e Windows Live possuem suporte para conexão em portas http(80), https()443 e msn (1863), o que torna mais difícil seu bloqueio, porém para bloquear de forma efetiva, basta bloquear os seguintes blocos de ip em todas as portas, ou somente nas de comunicação:

65.54.128.0/255.255.128.0

65.54.0.0/255.255.0.0

207.46.0.0/255.255.248.0

Pode ocorrer de algum serviço da Microsoft ser bloqueado, neste caso é recomendável efetuar um monitoramente e liberar o serviçlo em regras de exceçao no firewall/proxy.

TLS Handshake

O TLS (Transport Layer Security), trabalha criando uma autenticação segura entre cliente e servidor, incrementando mais a segurança em uma conexão, o TLS Handshare utiliza algoritimos de troca de chaves como RSA e Diffie-Hellman, caso tenha mensagens de retorno como:

Deferred: 403 4.7.0 TLS handshake failed

Trabalhando com o sendmail, este problema pode ser facilmente solucionado adicionando a seguinte linha ao arquivo /etc/mail/access:

Try_TLS:host.dominio.com.br NO

Após editado o arquivo, o sendmail deve ser reiniciado para as alterações serem efetivadas:

/etc/init.d/sendmail restart

Grub Legacy

O gerenciador de boot grub, nos permite adicionar uma camada a mais de segurança ao sistema, definindo uma senha impedindo a edição do mesmo, serão vistos dois exemplos, um com uma senha em formato texto puro, e outro com a senha criptografada.

Senha em texto

Como super-usuário (root), deve ser editado o arquivo /boot/grub/menu.lst, ao inicializar a edição do arquivo com seu edito favorito( (vim, mc edit, pico, nano, etc…), efetue uma busca pela palavra password, caso a mesma esteja presente, é necessário descomentar a linha, ou adicionála da seguinte forma:

password senha-grub

A senha será definida, onde “senha-grub” é a nossa senha cadastrada no grub, para efetivar a alteração, salve o arquivo /boot/grub/menu.lst e reinicie o sistema, na inicialização não serão mais permitidas edições no grub, para digitar a senha deve ser pressionada qualquer tecla, e será exibido o prompt para digitação da mesma.

Senha criptografada

Também é possível utilizar senhas criptografadas no grub, para talprocedimento, a senha deve ser gerada no prompt de comandos do grub:

host:~# grub
Probing devices to guess BIOS drives. This may take a long time.
GNU GRUB  version 0.97  (640K lower / 3072K upper memory)
[ Minimal BASH-like line editing is supported.   For
the   first   word,  TAB  lists  possible  command
completions.  Anywhere else TAB lists the possible
completions of a device/filename. ]
grub>

Estando no prompt de comandos do grub, vamos prosseguir com o md5crypt, e em seguida deve ser digitada a senha, neste caso a senha foi definida como senha-grub:

grub> md5crypt
md5crypt
Password: senha-grub
senha-grub
Encrypted: $1$WGDl7/$snjXSpM4ykBG41vOHhaG40

Saindo do grub:

grub> quit

Em seguida, a senha deve ser da mesma forma adicionada ao arquivo /boot/grub/menu.lst com os seguintes parâmetros:

password --md5 $1$WGDl7/$snjXSpM4ykBG41vOHhaG40

Após este procedimento, basta salvar o arquivo de configuração do grub e reiniciar o sistema para testar a configuração.

Conectividade Social

Abaixo temos mais uma das diversas formas de contorbnar o problema de acesso ao Conectividade Social da Caixa Econômica Federal, onde trabalharemos com regras diretamente no firewall, utilizando o firewall iptables.

iptables -t nat -D PREROUTING -d 200.201.160.0/20 -j RETURN

iptables -t nat -D POSTROUTING -d 200.201.160.0/20 -j MASQUERADE

iptables -t filter -D FORWARD -d 200.201.160.0/20 -j ACCEPT

##

iptables -t nat -I PREROUTING -d 200.201.160.0/20 -j RETURN

iptables -t nat -I POSTROUTING -d 200.201.160.0/20 -j MASQUERADE

iptables -t filter -I FORWARD -d 200.201.160.0/20 -j ACCEPT

Para efeitos de aprendizado, é recomendável digitar as regras manualmente no console, e para o entendimento de cada um dos parâmetros passados, é fortemente recomendada a leitura do Guia Foca Linux.