Arquivo mensal: abril 2016

Linux: Instalação de um proxy transparente com Squid

Para configurar Squid e iptables eu vou mostrar abaixo um passo a passo bem simples de fazer.

Este proxy é transparente a fim de facilitar a navegação do usuário sem que ele precise se autenticar no navegador.

Minha configuração:
– System: HP dual Xeon CPU system with 8 GB RAM (good for squid).Sistema: sistema de CPU dual Xeon HP com 8 GB de RAM (bom para squid).
– ii) Eth0: IP:192.168.1.1Eth0: IP: 192.168.1.1
– iii) Eth1: IP: 192.168.2.1 (192.168.2.0/24 network (around 150 windows XP systems))Eth1: IP: 192.168.2.1 (192.168.2.0/24 rede (cerca de 150 sistemas Windows XP))
– iv) OS: Red Hat Enterprise Linux 4.0 (Following instruction should work with Debian and all other Linux distros)Sistema: Red Hat Enterprise Linux 4.0 ou acima (sequência de instruções deve trabalhar com Debian e todas as outras distribuições Linux)

Configuração do servidor

  • Step #1 : Squid configuration so that it will act as a transparent proxy Etapa # 1: configuração do Squid para que ele vai agir como um proxy transparente
  • Step #2 : Iptables configuration Etapa # 2: Configuração Iptables
    • a) Configure system as router a) Sistema Configure como router
    • b) Forward all http requests to 3128 (DNAT) b) Encaminhar todas as solicitações HTTP para 3128 (DNAT)
  • Step #3: Run scripts and start squid service Etapa # 3: Execute scripts e iniciar o serviço squid

Para instalação em sistemas baseados em RED HAT por exemplo Centos use o YUM

Yum install squid

Para instalação em sistema baseados em Debian use o apt-get ou aptitude

Apt-get ou aptitude install squid

Bom depois de instalado o Squid vamos para os arquivos de configuração do squid.

Tanto nos sistemas baseados em Redhat e no Debian os arquivos ficam em /etc

Va em

# Vi /etc/squid/squid.conf

É esperto ou nube como chamam por ai, então faça o backup antes

cp squid.conf para squid.conf.datadobackup

Beleza? Agora que sabe fazer backup dos arquivos de conf. Vamos no squid.conf

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
acl lan src 192.168.1.1 192.168.2.0/24
http_access allow localhost
http_access allow lan
  • httpd_accel_host virtual: Squid como acelerador httpd
  • httpd_accel_port 80: 80 é a porta que você deseja atuar como um proxy
  • httpd_accel_with_proxy em: ato Squid tanto como um acelerador httpd local e como um proxy.
  • httpd_accel_uses_host_header em: Header está ligado, que é o nome do host da URL.
  • acl lan src 192.168.1.1 192.168.2.0/24: lista de controle de acesso, só permitem que computadores da rede local para usar squid
  • http_access allow localhost: acesso Squid para LAN e localhost ACL única
  • http_access allow lan: – mesmo que acima –

Aqui está a lista completa de squid.conf para sua referência (grep irá remover todos os comentários e sed irá remover todas as linhas vazias, graças a David Klein para a dica rápida):

# Grep -v “^ #” /etc/squid/squid.conf | sed -e ‘/ ^ $ / d’

OR, experimentar sed (graças a Kotnik para pequeno truque sed)

O resto da configuração:

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl purge method PURGE
acl CONNECT method CONNECT
cache_mem 1024 MB
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl lan src 192.168.1.1 192.168.2.0/24
http_access allow localhost
http_access allow lan
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname myclient.hostname.com
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
coredump_dir /var/spool/squid

Configuração de iptables

Em seguida, eu tinha adicionado seguindo regras para encaminhar todas as solicitações HTTP (que vêm para a porta 80) para a porta do servidor Squid 3128:

iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT –to 192.168.1.1:3128

iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 3128

Um script maneiro montado em sh para rodar no iptables bem simples

#!/bin/sh
# squid server IP
SQUID_SERVER=”192.168.1.1″
# Interface connected to Internet
INTERNET=”eth0″
# Interface connected to LAN
LAN_IN=”eth1″
# Squid port
SQUID_PORT=”3128″
# DO NOT MODIFY BELOW
# Clean old firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Load IPTABLES modules for NAT and IP conntrack support
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# For win xp ftp client
#modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i $INTERNET -m state –state ESTABLISHED,RELATED -j ACCEPT
# set this system as a router for Rest of LAN
iptables –table nat –append POSTROUTING –out-interface $INTERNET -j MASQUERADE
iptables –append FORWARD –in-interface $LAN_IN -j ACCEPT
# unlimited access to LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp –dport 80 -j DNAT –to $SQUID_SERVER:$SQUID_PORT
# if it is same system
iptables -t nat -A PREROUTING -i $INTERNET -p tcp –dport 80 -j REDIRECT –to-port $SQUID_PORT
# DROP everything and Log it
iptables -A INPUT -j LOG

Salve shell script. Executar o script para que o sistema irá funcionar como um roteador e encaminhar as portas:

# chmod +x /etc/fw.proxy
# /etc/fw.proxy
# service iptables save
# chkconfig iptables on

Start ou restart squid:

# /etc/init.d/squid restart
# chkconfig squid on

Desktop / configuração do computador cliente

Apontar todos os clientes de desktop para o seu endereço IP eth1 (192.168.2.1) como Router / Gateway (uso DHCP para distribuir esta informação). Você não tem de configurar-se navegadores individuais para trabalhar com proxies.

Como posso testar o meu proxy Squid está funcionando corretamente?

Veja /var/log/squid/access.log arquivo de log de acesso:

/var/log/squid/access.log # tail -f

O comando acima irá acompanhar todos os pedidos de entrada e log para var log / squid / arquivo / / access_log. Agora, se alguém acessar um site através do navegador, vai registrar informações.

Agora ficou facil, leia atentamente e estude o arquivo, o log é um cara para você analisar seus própruos erros e vai apontar as correções.

Eu espero que tenha ajudado.

PFSENSE, Firewall gratuito e poderoso.


O PfSense é um dos mais conceituados Firewalls do mercado. Além de ser Free, é uma poderosa ferramenta que pode ser usada para configuração de servidores DHCP, NTP, controlador de VPN, Proxy, Filtros de Pacotes e vários outros serviços referentes a segurança de ambientes corporativos.
Ele é baseado no sistema operacional FreeBSD, portanto seu kernel é leve e contém somente o necessário para o funcionamento do firewall.

Configuração do Ambiente Virtual


O sistema de Firewall funcione corretamente, é necessário que a máquina física ou virtual contenha pelo menos duas placas de rede. Uma iremos configurar com DHCP e conectar o modem de internet e na outra será estática para a porta de comunicação da rede interna.

Vamos começar criando o ambiente. No Virtualbox vá em Novo > Dê o nome para a Máquina, no caso, PfSense > Selecione BSD como Sistema Operacionel e FreeBSD 64 Bits.


Agora é só prosseguir criando o disco virtual e a memória RAM, o BSD é um sistema muito leve, portanto 128 de RAM já é o suficiente para a instalação. Porém se for aplicar em um ambiente real, coloque 512 mb, 1 Gb dependendo da quantidade de hosts da sua rede.

Criei duas placas virtuais em modo bridge no VirtualBox para demonstrar certinho como se faz.

Vá nas configurações da Máquina Virtual > Rede > Nos adaptadores 1 e 2, habilite os mesmos, coloque em modo Bridge, selecione a placa e clique em “Ok” deixando as duas iguaizinhas. Ok, vamos dar o Boot no Sistema.


 


 

Download do PfSense 2.2.4


O PfSense é um sistema que roda em cima do FreeBSD, ou seja, ele é muito, mas muito leve. Vamos baixá-lo direto da página de Download do site oficial do sistema.

Link: https://www.pfsense.org/download/mirror.php?section=downloads

Neste link selecione a arquitetura do seu sistema e em seguida selecione a opção “Live CD With Installer”. Em seguida clique em alguma das mirrors e faça o Download do arquivo compactado.


O arquivo “pfSense-LiveCD-2.2.4-RELEASE-amd64.iso.gz” que vai ser baixado está numa compactação gzip, então você não irá conseguir descompactá-lo com o tar.

# gzip -d  pfSense-LiveCD-2.2.4-RELEASE-amd64.iso.gz


Agora ele irá descompactar a ISO pra gente conseguir prosseguir normalmente.

 

 

Instalação do Firewall 

 

Inicie o VirtualBox selecionando a ISO do pfSense para dar o boot inicial. Na tela de Boot, você vai se deparar com a opção do PfSense para a utilização em modo LiveCD, ou seja, utilizá-lo sem a necessidade de instalação. Aperte 1 para iniciar o Boot default do sistema em modo Multi User. 

 

 


 

 

Logo depois de selecionar a opção 1, ele vai descompactar o Kernel e te pedir o modo que quer que o sistema inicie. Logo, espere o tempo de boot acabar para ele iniciar o installer. Nele digite a opção 99 para iniciar a instalação do sistema. 

 


 

 

Selecione a Opção Accept These Settings e dê Enter para prosseguir. Logo selecione Quick/Easy Install e Enter e Enter para começar a instalação do Software.

 



 

Após a instalação é hora de customizar o Kernel. Mas calma, o Kernel Standard do FreeBSD já vem o mais genérico e funcional possível para o bom funcionamento do Firewall. Selecione a opção Standard e prossiga. 

 


 

Após a instalação é só selecionar a opção reboot. É legal entrar no menu de dispositivos e desmarcar a ISO do PfSense depois de fazer o reboot pra evitar que ele tente reinstalar novamente. 

 

Na hora do boot é só selecionar F1, Enter que ele vai voltar na tela padrão do PfSense. Mais uma vez selecione a opção 1 e aguarde o boot do sistema. 

 

Agora ele vai pedir pra você configurar a VLAN que ele vai trabalhar, ou seja, atribuir os IPs as placas de rede que instalamos na máquina. Note que ele reconheceu as duas, e provavelmente atribuiu a identificação delas como em0 e em1

 


 

 

Selecione a opção 2 para atribuir um endereço para as placas. Vamos fazer assim:

 

em0 -> Vai receber uma configuração DHCP para conexão com a internet

em1 -> Vai receber uma configuração com um IP Estático da rede interna

 

Selecione 2) Set interface(s) IP address > Selecione a Opção 1 para editar a placa em0 e em seguida selecione Yes(y) para atribuir o endereço DHCP para IPv4, Novamente para o IPv6 e mais uma vez para o Web configurator. 

 

 

Selecione 2) Set interface(s) IP address > Selecione a opção 2 para editar a placa em1 e em seguida atribua um IP Fixo pra ela, logo atribua a subrede. Eu atribui como 24 para setar o padrão. 

 

Agora no navegador, digite o IP fixo atribuido à placa de rede.

 

http://IP-DO-SERVIDOR

 


 

As credenciais Default são 

 

Username: admin

Password: pfsense

 

Agora avance e altere as configurações de host e DNS, rede conforme o a sua necessidade e troque a senha do admin no final da configuração e dê um reload no firewall. 

 

 


 

 

Como vocês puderam ver não é necessária muita técnica para instalar o PfSense. 

 

Depois da configuração é só acessar a URL novamente e acessar o painel de controle do firewall. 

Nele é possível realizar configurações de VPN, Proxy, Firewall, DNS, NTP, redirecionamento de portas e outros módulos do PFSENSE.

 

A versão instalada foi a 2.2.4

 


Espero que tenham gostado.

Ativando Descoberta in loco (backup) Office 365 parte I

Olá pessoal

Umas das grandes vantagens no Office 365 é o menu de gerenciamento de conformidade.

O Exchange online lhe oferece um tipo de backup chamado bloqueio e descoberta in loco.
Eu chamo de backup pois ele lhe oferece 170GB de cópia de dados para cada mailbox.

Assim que completa 170 GB ele cobre a partir da data que você ativou.

Além de você ter 50gb de caixa 100GB de archiving acima do plano E3 e ainda lhe dão a oportunidade
de backup de 170GB.

Ele faz backup de toda Mailbox (Mensagens, pastas, regras, tarefas, calendário e mensagens do histórico
do Skype for business)

OBS: Tudo isso dentro de sua assinatura.

Se você tivesse que ter isso em on premisses com 1000 contas, a continha de buteco que eu te daria seria
de 170 terabytes só para isso. Fora os outros custos que você já deve estar pensando aí na sua cabeça.

Abaixo segue um passo a passo de como ativar, é bem simples.

Acesse o http://portal.office.com e va em Centro de administração no menu Exchange

No menu Exchange vá no menu gerenciamento de conformidade

Clique em + e no novo popup para deixar bem organizado coloque o nome da Caixa alvo que será feito o backup e clique em Avançar.

Especificar a caixa clicando em + e não deixar o flag pesquisar todas pastas públicas.

Escolher a caixa especifica que será feito o backup.

Depois de escolher a caixa clique em Avançar.

Escolhendo todo o conteúdo ele incluirá Mensagens, Pastas, Tarefas, Calendários e reuniões, lembretes e mensagens do Skype for business e avance.

Escolha reter indefinidamente, leia atentamente as instruções ao lado e o informativo.

Cada caixa tem 170GB de espaço para backup por tempo indeterminado até ficar cheio e substituirá a

última data do primeiro backup.

Veja video bem simples de demonstração da criação.

Na segunda parte eu irei mostrar como restaurar uma caixa.

Espero que gostem.

Obrigado

DevOps: saiba como ela pode promover a segurança da informação

devops

A segurança da informação é hoje uma das grandes preocupações das empresas de todos os portes. E não era para menos, as ameaças não param de aumentar. Um levantamento feito pela Symantech no início de fevereiro detectou que as empresas brasileiras receberam mais de 40 mil spams para roubo de dados em apenas oito dias. Isso mostra o quanto os hackers estão interessados em invadir contas de e-mails para, a partir delas, chegar aos servidores e colocar em ameaça informações sensíveis como transações financeiras entre outras.

Além das crescentes tentativas de ataques externos por phishing, as próprias vulnerabilidades das soluções desenvolvidas pelas empresas, que agora lidam com um pool muito grande de ferramentas e equipamentos tecnológicos, podem ameaçar a segurança da informação. E, nós sabemos, é muito comum que as equipes de projetos de segurança sejam também responsáveis pela operação da segurança, quando não são também responsáveis por outras áreas de TI. Este dia a dia corrido sobrecarrega os profissionais que, por sua vez, deixam involuntariamente brechas em algum ponto do processo.

E a segurança da informação, neste processo, também se torna uma preocupação das equipes de desenvolvimento, cada vez mais pressionadas para entregar aplicações com agilidade e eficácia.

A boa notícia é que na mesma proporção também crescem os esforços para manter os dados corporativos seguros. Você sabia que a metodologia DevOps pode ajudar a promover a segurança da informação no processo de desenvolvimento da sua empresa? É sobre isso que vamos conversar neste artigo. Confira!

Antes de tudo, vamos relembrar rapidamente o que é, afinal, a DevOps:

O que é DevOps?

Nascido da necessidade de melhorar a entrega de serviços agilidade, o movimento DevOps enfatiza comunicação, colaboração e integração entre desenvolvedores de software e operações de tecnologia da informação (TI). Ao invés de ver estes dois grupos como silos, ou seja, departamentos separados que não trabalham juntos, DevOps reconhece a interdependência das operações de desenvolvimento de software e de TI e ajuda no desenvolvimento mais ágil, com iterações mais frequentes.

Em outras palavras, trata-se de uma metodologia de desenvolvimento de software que cumpre a difícil missão de integrar desenvolvedores de software e profissionais de infraestrutura de TI. E desta integração nascem benefícios como padronização dos desenvolvimentos de desenvolvimento, facilitação da gestão de lançamentos de novas versões, controle e documentação de relatórios, menor tempo de entrega do software, além de diminuir as chances de erros e problemas com testes de qualidade.

Dito isso, vamos agora à explicação de como é possível conseguir mais segurança da informação com a utilização da metodologia DevOps!

Como DevOps promove a segurança da informação?

As organizações adotam a metodologia DevOps para agilizar o processo de desenvolvimento através da combinação de várias etapas em um único processo, automatizado. Assim, diferentemente do processo tradicional de desenvolvimento (cascata), os profissionais de TI de todas as áreas trabalham em conjunto desde o início para reduzir drasticamente o tempo para lançar um produto. Em vez de continuar a existir como um autônoma, entidade isolada de segurança, a segurança da informação passa a ser integrada no processo desde o início.

Dito de outra forma: o método DevOps integra uma série de áreas funcionais, incluindo a segurança, para o produto final. Assim,  a entrada de todos os envolvidos no desenvolvimento começa mais cedo e, em seguida, o processo é automatizado para garantir tempos de liberação previsíveis, curtos e de qualidade. O resultado? Soluções mais seguras, menos vulneráveis, entregues em menos tempo.

Vamos a um detalhamento maior desta proposição:

DevOps promove análises verificativas desde o início do processo de desenvolvimento

Ao usar a metodologia DevOps, a equipe de desenvolvimento preza por fatores relacionados à confiabilidade, proteção e análise do desempenho desde as primeiras etapas. Além disso, DevOps permite ao gestor o monitoramento mais apurado de tudo o que envolve os esforços de desenvolvimento e testes.

DevOps requer testes em todas as etapas do desenvolvimento

Ao invés de começar a fazer testes somente quando o produto estiver finalizado, com DevOps, as equipes testam a performance da aplicação etapa por etapa. Assim fica mais fácil identificar falhas, desajustes, aplicações incompletas e necessidades ainda não supridas pelas funcionalidades. Podemos dizer que o software é corrigido de forma mais instantânea, permitindo que as outras etapas tenham um grau de confiança maior.

DevOps promove a sincronização das equipes permitindo múltiplos mecanismos de autenticação

O método DevOps pode ser disponibilizado em uma ferramenta multi-inquilino (funcionando em ambientes híbridos). Isso permite diversos mecanismos de autenticação, inclusive no próprio servidor. Isso faz com que as equipes trabalhem mais sincronizadas, fazendo com que os erros involuntários, muitas vezes causados por má interpretação de requisitos, sejam mitigados.

DevOps traz mais poder de intervenção durante o desenvolvimento

A dinâmica do processo de desenvolvimento trazida pela metodologia DevOps facilita a detecção de falhas. Isso faz com que os profissionais envolvidos consigam intervir em tempo para fazer as correções e não comprometer as etapas posteriores.

DevOps é um novo paradigma para profissionais de desenvolvimento e segurança da informação — uma conclusão

Em suma, podemos resumir que a metodologia DevOps traz mais segurança no código (testes ao longo do desenvolvimento), correções ao longo do processo (no processo tradicional, os testes são feitos ao final), traz os profissionais de segurança da informação para o meio do processo de desenvolvimento, o que também melhora a detecção de vulnerabilidades e as correções e promove uma cultura de prevenção.

DevOps é, portanto, não só uma cultura de desenvolvimento mais ágil e de integração das equipes de desenvolvedores com a operação de TI, mas também é um salto em matéria de segurança da informação. Trata-se de um método que faz com que a segurança deixe de ser um ponto isolado, passe a fazer parte de todo o desenvolvimento da aplicação. E isso é também um novo paradigma para os profissionais de TI que estão, cada vez mais, em busca de maior agilidade e assertividade em suas entregas.

Você já utiliza a metodologia DevOps no desenvolvimento? Quer saber mais sobre o assunto? Baixe grátis o e-book: ‘Guia Rápido DevOps — Aprenda de maneira simples o que é e como implantar DevOps’.

 

Participe do Workshop OPENSTACK

The_OpenStack_logo.svg

Pessoal

Participe do Workshop já em andamento DE OPENSTACK.

^2A4EF4AD89F57E3865A95CEDF0D3BB26D0A4D657BAA15F124C^pimgpsh_fullsize_distr

Clique na imagem ou aqui para participar do Workshop

É Sensacional

Veja abaixo os videos relacionados ao Openstack.

INICIANDO COM OPENSTACK

Iniciando com OpenStack

INSTALAÇÃO OPENSTACK

REST API OPENSTACK

 

DEVSTACK LAB

 

Workshop Introdução ao OPENSTACK

Pessoal

Esta semana realizaremos um workshop com introdução ao Opestack.

openstack

openstack1

Quer participar? Clique aqui e se inscreva.

Veja os videos no BLOG do Cloudtreinamentos.

Pessoal participem e em breve cursos de Azure.

Aguardem.