[RFR] ddp://manuals.sgml/securing-howto/pt-br/sec-tools.sgml
Senhores,
Senti um pouco de dificuldade no momento da tradução pois, haviam muitas redundâncias nas próprias frases originais do pacote. Não sei se está tudo correto e espero ter conseguido "acertar" o máximo possível.
Fico no aguardo de seus comentários e revisão.
[]'s
2010/8/17 Hilton Garcia Fernandes
<fernandesh@yahoo.com>
Prezados Marcelo e Chanely,
vai ser um prazer traduzir este texto em 3 pessoas.
Vamos nos falando.
Obrigado,
Hilton
----- Original Message ----
From: Marcelo Santana <
marcgsantana@yahoo.com.br>
To:
debian-l10n-portuguese@lists.debian.org
Sent: Mon, August 16, 2010 11:06:43 PM
Subject: Re: [ITT] ddp://manuals.sgml/securing-howto/pt-br/sec-tools.sgml
> --- Em seg, 16/8/10, Chanely Marques <
chanelym@gmail.com> escreveu:
>
> De: Chanely Marques <
chanelym@gmail.com>
> Assunto: [ITT] ddp://manuals.sgml/securing-howto/pt-br/sec-tools.sgml
> Para:
debian-l10n-portuguese@lists.debian.org
> Data: Segunda-feira, 16 de Agosto de 2010, 19:34
>
> Olá,
Olá Chanely e Hilton, seja bem vindos ao time de tradução.
> Informo que estou interessada na tradução do Debian Securing Howto,
> especificamente em traduzir/revisar o sec-tools.sgml.
Fico feliz, pois agora somos três traduzindo/revisando o Debian Securing Howto,
e acredito que conseguiremos terminar em breve.
Espero que o texto existente na wiki do Debian Brasil[1] esteja claro quanto ao
processo de tradução. Porém, ainda pretendo detalhar mais algumas coisas. De
qualquer forma, por favor, não tenham vergonha em perguntar.
[1]
http://wiki.debianbrasil.org/Documentacao/Traduzidos/SecuringDebianHowto
Um abraço,
--
Marcelo G. Santana(aka darkstar) GNU/Linux User number #208778
JID:marcelo.santana@jabber.org GNU Privacy Guard ID: 89C55467
http://marcelosantana.wordpress.com http://identi.ca/mgsantana
Comunidade Debian Brasil -
http://www.debianbrasil.org
--
To UNSUBSCRIBE, email to
debian-l10n-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Archive:
http://lists.debian.org/768076.29845.qm@web39602.mail.mud.yahoo.com
--
To UNSUBSCRIBE, email to
debian-l10n-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
--
Att.
Chanely Marques
Linuxuser #476408
<!-- CVS revision of this document "$Revision: 1.19 $" -->
<!-- last translator: chanelym@gmail.com -->
<chapt id="sec-tools">Ferramentas de segurança no Debian
<p>FIXME: Necessário mais conteúdo.
<p>O Debian também provê uma série de ferramentas de segurança que podem tornar
uma máquina adptada com o sistema apropriada para este propósito. Estes
propósitos incluem proteção dos sistemas de informação através de firewalls
(de pacotes ou de aplicação), detecção de intrusão (baseados em rede e host),
análise de vulnerabilidades, antivirus, redes privadas, etc.
<p>Desde o Debian 3.0 (<em>woody</em>), os recursos dos softwares de criptografia
vinham integrados à distribuição principal. OpenSSH e GNU Privacy Guard
estão incluídos na instalação padrão, e a forte criptografia está agora presente
em navegadores e servidores Web, bancos de dados, e assim por diante.
Uma maior integração de criptografia está planejada para futuros lançamentos.
Devido às restrições, de exportação nos EUA, este software não foi distribuído
com a distribuição principal, sendo disponível apenas em sites fora dos EUA.
<sect id="vuln-asses">Ferramenta de análise remota de vulnerabilidades
<p>As ferramentas que são fornecidas pelo Debian para análises remotas de vulnerabilidades
são:
<footnote>
Algumas delas são fornecidas
quando é instalado o pacote <package>harden-remoteaudit</package> .
</footnote>
<list>
<item><package>nessus</package>
<item><package>raccess</package>
<item><package>nikto</package> (substituto de <prgn>whisker</prgn>'s)
</list>
<p>De longe, a mais completa e atualizada ferramenta é o
<package>nessus</package> que é composto de um cliente
(<package>nessus</package>) usado com uma GUI e um servidor
(<package>nessusd</package>) que inicia os ataques programados.
O Nessus incluir uma análise remota de vulnerabilidades para um grande número
de sistemas incluindo equipamentos de rede, servidores ftp, servidores web,
etc. Os últimos plugins de segurança tem a capacidade de analisar um web site e
tenta descobrir as páginas interativas disponíveis que poderiam ser
atacadas. Há também clientes Java e Win32 (não inclusos no
Debian) que podem ser usados para acessar o servidor de gerenciamento.
<p><package>nikto</package> é um varredor de vulnerabilidades somente web
que inclui táticas anti-IDS (a maioria dos quais não são <em>anti-IDS</em> mais).
É um dos melhores cgi-scanners disponíveis, sendo capaz de detectar
um servidor Web e iniciar somente um conjunto de ataques contra ele. O banco de dados
usado para fazer a varredura pode ser facilmente modificado para prover novas informações.
<sect>Ferramentas de varredura de rede
<p>O Debian fornece algumas ferramentas usadas para varreduras remotas de hosts
(mas não análise de vulnerabildiades). Essas ferramentas são, em alguns casos,
usados por scanners de vulnerabilidades como o primeiro tipo de
"ataque" executado contra os hosts remotos na tentativa de determinar
quais os serviços remotos disponíveis. Atualmente, o Debian fornce:
<list>
<item><package>nmap</package>
<item><package>xprobe</package>
<item><package>p0f</package>
<item><package>knocker</package>
<item><package>isic</package>
<item><package>hping2</package>
<item><package>icmpush</package>
<item><package>nbtscan</package> (para auditorias SMB /NetBIOS)
<item><package>fragrouter</package>
<item><prgn>strobe</prgn> (no pacote <package>netdiag</package>)
<item><package>irpas</package>
</list>
<!--
Ettercap is not included since its a sniffing tool not a remote probe.
-->
<!--
Ettercap não está incluído pois é uma ferramenta de sniffing e não uma
ferramenta de varredura remota
-->
<p>Enquanto o <package>xprobe</package> fornece
apenas detecção remota do sistema operacional (usando TCP/IP fingerprinting,
<package>nmap</package> e <package>knocker</package> fazem a detecção do
sistema operacional e varredura de portas dos hots remotos. Por outro
lado, <package>hping2</package> e <package>icmpush</package> podem ser
usados para técnicas de ataques ICMP remotos.
<p>Desenhado especificamente para redes SMB, <package>nbtscan</package>
pode ser usado para varrer redes IP e recuperar informações de nomes de
servidores Samba habilitados, incluindo: nomes de usuários e de redes, endereços
MAC...
<p>Por outro lado, o <package>fragrouter</package> pode ser usado para
testes de intrusão em redes e sistemas e verificar se o NIDS pode ser
enganado com ataques de fragmentação.
<p>FIXME: Consulte <url id="http://bugs.debian.org/153117"; name="Bug
#153117"> (ITP fragrouter) para ver se está incluso.
<p>FIXME adicione informações baseadas em
<url id="http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf";
name="Debian Linux Laptop for Road Warriors"> que descreve como usar
o Debian e um notebook para varrer redes wireless (803.1) (link não existe
mais).
<sect>Auditorias internas
<p>Atualmente, somente a ferramenta <package>tiger</package> usado no Debian pode
ser usado para executar auditorias internas de hosts (também chamadas
de "caixa branca") para determinar se o sistema de arquivos está
corretamente configurado, quais processos estão rodando no host, etc.
<sect>Auditando o código fonte
<p>O Debian fornece uma porção de pacotes que pode ser usados para auditar programas
com o código fonte em C/C++ e achar erros de programação que podem levar a potenciais
falhas de segurança:
<list>
<item><package>flawfinder</package>
<item><package>rats</package>
<item><package>splint</package>
<item><package>pscan</package>
</list>
<sect id="vpn">Redes Privadas Virtuais (VPN)
<p>Uma rede privada virtual (VPN) é um grupo de dois ou mais sistemas
computacionais, tipicamente conectados a uma rede privada com
acesso limitado à rede pública, que se comunicam de maneira segura através
de uma rede pública. VPNs podem conectar um simples computador a uma rede privada
(cliente-servidor), ou uma LAN remota a uma rede privada (servidor-servidor).
VPNs, muitas vezes, incluem o uso de criptografia, forte autenticação de
usuários ou hosts remotos, e métodos para esconder a topologia da rede privada.
<p>O Debian fornece alguns pacotes para a configuração de uma rede privada virtual
criptografada:
<list>
<item><package>vtun</package>
<item><package>tunnelv</package> (seção fora dos EUA)
<item><package>cipe-source</package>, <package>cipe-common</package>
<item><package>tinc</package>
<item><package>secvpn</package>
<item><package>pptpd</package>
<item><package>openvpn</package>
<item><package>openswan</package> (<url id="http://www.openswan.org/";>)
</list>
<p>FIXME: Atualizar as informações aqui já que foram escritas com o FreeSWAN em
mente. Verificar Bug #237764 e a mensagem:
<200412101215.04040.rmayr@debian.org>.
<p>O pacote OpenSWAN é provavelmente a melhor escolha, desde que
ele prometa interagir com quase tudo que use o protocolo de
segurança, IPsec (RFC 2411). Entretando, os outros pacotes listados acima
podem te ajudar a ter rapidamente um túnel seguro. O protocolo
de tunelamente ponto a ponto (PPTP) é proprietário da Microsoft
para VPN. É suportado no Linux, porém é sabido que ele possue
sérios problemas de segurança.
<p>Para mais informações consultee <url
id="http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html";
name="VPN-Masquerade HOWTO"> (cobre IPsec e PPTP), <url
id="http://www.tldp.org/HOWTO/VPN-HOWTO.html"; name="VPN HOWTO">
(cobre PPP sobre SSH), <url
id="http://www.tldp.org/HOWTO/mini/Cipe+Masq.html"; name="Cipe
mini-HOWTO">, e <url
id="http://www.tldp.org/HOWTO/mini/ppp-ssh/index.html"; name="PPP
and SSH mini-HOWTO">.
<p>Vale à pena consultar também
<url id="http://yavipin.sourceforge.net/"; name="Yavipin">, mas no Debian
os pacotes parecem estar indisponíveis ainda.
<sect1>Tunelamento ponto a ponto
<p>Se você quer fornecer um servidor de tunelamento para um ambiente misto
(tanto para clientes Microsoft quanto clientes Linux) e IPsec não é
uma opção (desde que é fornecido para Windows 2000 e Windows XP),
você pode usar <em>PoPToP</em> (Servidor de tunelamento ponto a ponto),
fornecido pelo pacote <package>pptpd</package> .
<p>Se você quiser usar a autenticação e criptografia da Microsoft com o servidor
fornecidos pelo pacote <package>ppp</package> veja o seguinte FAQ:
<example>
É somente necessário usar PPP 2.3.8 se você deseja autenticação e criptografia
MSCHAPv2/MPPE compatíveis com a Microsoft. O propósito disso é que
o patch MSCHAPv2/MPPE atualmente aplicado (19990813) está sobre o PPP
2.3.8. Se você não necessitar autenticação/criptografia compatíveis com a
Microsoft, qualquer versão 2.3.x do fonte do PPP será o suficiente.
</example>
<p>Entretando, você também deve aplicar um patch no kernel fornecido pelo
pacote <package>kernel-patch-mppe</package> , que fornece o módulo
pp_mppe para pppd.
<p>Saiba que a criptografia no ppptd força o armazenamento de senhas de usuários
em texto puro, e o protocolo MS-CHAPv2 contém <url
id="http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/"; name="furos de
segurança conhecidos">.
<sect>Infra-estrutura de Chave Pública (PKI)
<p>Infra-estrutura de Chave Pública (PKI) é uma arquitetura de segurança
introduzida para fornecer um nível adicional de confiança para
a troca de informações entre redes inseguras. Utiliza o conceito de
chaves de criptografia pública e privada para verificar a identidade de um
remetente (assinatura) e para assegurar a privacidade (criptografia).
<p>Levando em conta uma PKI, você será confrontado com uma variedade de
situações:
<list>
<item>uma Autoridade Certificadora (CA) que pode distribuir e verificar
certificados, e pode trabalhar sobre uma dada hierarquia.
<item>um Diretório para manter os certificados públicos.
<item>um Banco de Dados (?) para manter Listas de Revogação de Certificados (CRL -
Certificate Revocation Lists)
<item>dispositivos que interagem com a CA a fim de imprimir em smart cards/
tokens USB ou qualquer outra forma para armazenar de forma segura os certificados.
<item>aplicações aptas a utilizarem certificados que podem usar certificados
fornecidos por uma CA para realizar uma comunicação criptografada e verificar
certificados dados contra CRL (para soluções de autenticação e uma única assinatura
completa)
<item>um carimbo de Tempo para assinar os documentos digitalmente.
<item>uma console de gerenciamento que possa ser corretamente usada
(geração de certificados, controle de lista de revogações, etc...).
</list>
<p> Debian GNU/Linux possue pacotes de software para te ajudar com alguns
dessas questões de PKI. Eles incluem <prgn>OpenSSL</prgn> (para gerar
certificados), <prgn>OpenLDAP</prgn> (como diretório para manter os
certificados), <prgn>gnupg</prgn> e <prgn>openswan</prgn> (com suporte
padrão ao X.509). Entretando, desde o release do Woody (Debian
3.0), o Debian não possui nenhuma das autoridades certificadoras
disponíveis gratuitamente como a pyCA, <url id="http://www.openca.org";
name="OpenCA"> ou os exemplos da CA samples do OpenSSL. Para mais informações
leia o <url id="http://ospkibook.sourceforge.net/"; name="Open PKI
book">.
<sect>Infra-estrutura SSL
<p>Debian fornece alguns certificados SSL com a distribuição de modo que eles
podem ser instalados localmente. Eles são encontrados no pacote
<package>ca-certificates</package>, que fornece um repositório central dos
certificados que foram submetidos para o Debian e aprovados (ou seja,
verificados) pelo mantenedor do pacote e utéis para qualquer aplicação OpenSSL
que verifica conexões SSL.
<p>FIXME: leia o debian-devel para verificar se algo foi adicionado a ele.
<sect>Ferramentas Anti-vírus
<p>Não há muitas ferramentas de anti-vírus inclusas no Debian GNU/Linux,
provavelmente porque os usuários do GNU/Linux não são atacados por vírus. O
modelo de segurança do Unix faz uma distinção entre processos privilegiados (root)
e os processos de usuário, então quando um executável "hostil" é criado
ou recebido por um usuário não-root e então executado, não
pode "infectar" ou manipular o sistema envolvido. De qualquer maneira, no GNU/Linux
worms e vírus existem, embora não tenham (ainda, esperançosamente) se espalhado
em nenhuma distribuição Debian. Em qualquer caso, administradores podem querer
construir gateways anti-vírus que os protejam contra vírus enviados para outros
sistemas mais vulneráveis em suas redes.
<p>O Debian GNU/Linux atualmente fornece as ferramentas a segui para
construir ambientes anti-vírus:
<list>
<item><url id="http://www.clamav.net"; name="Clam Antivirus">,
fornecidos desde o Debian <em>sarge</em> (versão 3.1). Pacotes fornecidos
tanto para o varredor de vírus (<package>clamav</package>) como para
o deamon varredor (<package>clamav-daemon</package>) e para os arquivos de dados
necessários pelo varredor. Como a atualização do anti-vírus é crítica
para o seu funcionamento, há duas formas diferentes de fazê-la:
<package>clamav-freshclam</package> fornece uma maneira de atualizar
o banco de dados através da Internet automaticamente e
<package>clamav-data</package> que fornece diretamente os arquivos de dados.
<footnote>Se você utiliza esse último pacote e estiver usando o Debian oficial,
o banco de dados não terá as atualizações de segurança. Você
deve usar também <package>clamav-freshclam</package>,
<prgn>clamav-getfiles</prgn> para gerar novos
<package>clamav-data</package> pacotes ou atualizações dos mantenedores
locais:
<example>
deb http://people.debian.org/~zugschlus/clamav-data/ /
deb-src http://people.debian.org/~zugschlus/clamav-data/ /
</example>
</footnote>
<item><package>mailscanner</package> um gateway de email com varredor de vírus e
detector de spam. Usando o <package>sendmail</package> ou
<package>exim</package> como sua base, ele pode usar mais de 17 diferentes
mecanismos de varredura de vírus (incluindo <package>clamav</package>).
<item><package>libfile-scan-perl</package> que fornece File::Scan, uma extensão
Perl para a varredura de arquivos em busca de vírus. Este módulo pode ser usado para
fazer varredores de vírus independentes de plataforma.
<item><url id="http://www.sourceforge.net/projects/amavis";
name="Amavis Nova Geração">, fornecido no pacote
<package>amavis-ng</package> e disponível no <em>sarge</em>, que é
um varredor de vírus de email integrado com um MTA diferente (Exim,
Sendmail, Postfix, ou Qmail) e suporte cerca de 15 mecanismos de
varredura de vírus (incluindo clamav, File::Scan e openantivirus).
<item><url id="http://packages.debian.org/sanitizer";
name="sanitizer">, uma ferramenta que usa o pacote <package>procmail</package>
que pode varrer anexos de email em busca de vírus, bloquear anexos baseados
em seus nomes de arquivos e outras opções.
<item><url id="http://packages.debian.org/amavis-postfix";
name="amavis-postfix">, um script que fornece uma interface de um agente de
transporte de email para um ou mais varredores de vírus comerciais (este pacote é
construído para suportar apenas o MTA <prgn>postfix</prgn>).
<item><package>exiscan</package>, um varreador de e-mails escrito em Perl que
funciona com o Exim.
<item><package>blackhole-qmail</package> um filtro de spam para o Qmail que foi
construído com suporte para o Clamav.
</list>
<p>Alguns daemons de gateways já suportam extensões de ferramentas para
construir ambientes anti-vírus, incluindo <package>exim4-daemon-heavy</package>
(a versão <em>pesada</em> do MTA Exim), <package>frox</package> (um servidor
proxy e cache transparente para ftp), <package>messagewall</package> (um daemon proxy
SMTP) e <package>pop3vscan</package> (um proxy transparente POP3).
<p>O Debian atualmente fornece o <prgn>clamav</prgn> como o único software
varredor anti-vírus na distribuição oficial e também fornece múltiplas
interfaces para a construção de gateways anti-vírus com capacidade para diferentes
protocolos.
<p>Alguns outros projetos anti-vírus livres que podem ser incluídos em futuras
versões do Debian GNU/Linux:
<list>
<item><url id="http://sourceforge.net/projects/openantivirus/"; name="Open
Antivirus"> (veja
<url
id="http://bugs.debian.org/150698"; name="Bug #150698 (ITP oav-scannerdaemon)">
and <url id="http://bugs.debian.org/150695"; name="Bug #150695 (ITP oav-update)">
).
</list>
<p>FIXME: Existe um pacote que fornece um script para download das últimas
assinaturuas de vírus <url id="http://www.openantivirus.org/latest.php";>?
<p>FIXME: Verifique se o scannerdaemon é o mesmo que o daemon varredor open
anti-vírus (Leia ITPs).
<p>De qualquer maneira, o Debian irá <em>never</em> fornecer um softwre de
anti-vírus comercial (não livre e não distribuível)
undistributable) como o : Panda Antivirus,
<!--
<url
id="http://www.pandasoftware.com/com/linux/linux.asp"; name="Panda
Antivirus">,
<url
id="http://www.networkassociates.com/us/downloads/evals/";
name="NAI Netshield (uvscan)">, -->
NAI Netshield,
<url id="http://www.sophos.com/";
name="Sophos Sweep">, <url id="http://www.antivirus.com";
name="TrendMicro Interscan">, ou <url id="http://www.ravantivirus.com";
name="RAV">. Para mais apontadores veja em <url
id="http://www.computer-networking.de/~link/security/av-linux_e.txt";
name="Linux antivirus software mini-FAQ">. Isso não significa que
este software não possa ser instalado corretamente em um sistema Debian<footnote>
Atualmente, há um pacote instalador para o <em>F-prot</em> um anti-vírus,
que não é livre mas é <em>gratis</em> para usuários caseiros, chamado
<prgn>f-prot-installer</prgn>. De qualquer maneira, faça o download do instalador <url
id="http://www.f-prot.com/products/home_use/linux/"; name="F-prot's software">
e instale-o no
sistema.</footnote>.
<p>Para maiores informações de como configurar um sistema de detecção de vírus
leia Dave Jones' article <url
id="http://www.linuxjournal.com/article.php?sid=4882"; name="Building
an E-mail Virus Detection System for Your Network">.
<sect id="gpg-agent">Agente GPG
<p>Hoje em dia, é bem comun assinar digitalmente (e às vezes
criptografar) emails. Você pode, por exemplo, verificar que muitas pessoas
participando em listas de discussão assinam seus e-mails. Assinaturas de chave
pública são atualmente o único mecanismo para verificar que um email foi
enviado pelo remetente e não por qualquer outra pessoa.
<p>O Debian GNU/Linux fornece clientes de emails com funções embutidas
para assinatura de emails que interagem com o
<package>gnupg</package> ou <package>pgp</package>:
<list>
<item><package>evolution</package>.
<item><package>mutt</package>.
<item><package>kmail</package>.
<item><package>icedove</package> (versão rebatizada do
Mozilla Thunderbird) através do
<url id="http://enigmail.mozdev.org/"; name="Enigmail"> plugin.
Esse plugin é fornecido pelo pacote <package>enigmail</package> .
<item><package>sylpheed</package>. Dependendo de como a versão estável deste
pacote evolua, você pode precisar usar a <em>bleeding edge
version</em>, <package>sylpheed-claws</package>.
<item><package>gnus</package>, que quando instalado com o pacote
<package>mailcrypt</package> , é uma interface <prgn>emacs</prgn>
interface para o <prgn>gnupg</prgn>.
<item><package>kuvert</package>, que fornece esta funcionalidade
independentemente do agente de email do usuário (MUA)
escolhido já que interage com o agente de transporte de email (MTA).
</list>
<p>Servidores de chave permitem que você faça o download de chaves públicas
publicadas que podem então verificar assinaturas. Um desses servidores de chaves
é <url id="http://wwwkeys.pgp.net";>. <package>gnupg</package> que pode
automaticamente buscar chaves públicas que não estão em seu chaveiro público.
Por exemplo, para configurar <prgn>gnupg</prgn> e usar o servidor de
chaves acima, edite o arquivo <file>~/.gnupg/options</file> e adicione a seguinte
linha:
<footnote>
Para mais exemplos de como configurar o <prgn>gnupg</prgn>, veja
<file>/usr/share/doc/mutt/examples/gpg.rc</file>.
</footnote>
<example>
keyserver wwwkeys.pgp.net
</example>
<p>A maioria dos servidores de chaves estão ligados, logo quando uma chave pública
é adicionada em um servidor, esta é propagada para todos os outros servidores de
chaves públicas. Existem também um pacote Debian <package>debian-keyring</package>,
que fornece todas as chaves públicas dos desenvolvedores Debian. Os chaveiros do
<prgn>gnupg</prgn> são instalados em <file>/usr/share/keyrings/</file>.
<p>Para mais informações:
<list>
<item><url ID="http://www.gnupg.org/faq.html"; name="GnuPG FAQ">.
<item><url ID="http://www.gnupg.org/gph/en/manual.html"; name="GnuPG
Handbook">.
<item><url
ID="http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto.html";
name="GnuPG Mini Howto (English)">.
<item><url ID="http://www.uk.pgp.net/pgpnet/pgp-faq/";
name="comp.security.pgp FAQ">.
<item><url ID="http://www.cryptnet.net/fdp/crypto/gpg-party.html";
name="Keysigning Party HOWTO">.
</list>
Reply to: