Mudanças entre as edições de "Projeto Integrador - 2009.1 - Dicas de GER"
| Linha 67: | Linha 67: | ||
iptables -A INPUT -i lo -j ACCEPT | iptables -A INPUT -i lo -j ACCEPT | ||
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT | iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT | ||
| + | |||
| + | # Libera aplicações TCP | ||
| + | # | ||
| + | # SSH | ||
| + | iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT | ||
| + | # | ||
| + | # HTTP | ||
| + | iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT | ||
| + | |||
| + | # Libera aplicações UDP | ||
| + | # | ||
| + | # DHCP | ||
| + | iptables -A INPUT -p udp --dport 67 -j ACCEPT | ||
| + | # | ||
| + | # Autenticação RADIUS (via proxy proxy.sj.ifsc.edu.br) | ||
| + | iptables -A INPUT -s proxy.sj.ifsc.edu.br -p udp --dport 1812 -j ACCEPT | ||
= Preferência por Aplicações Compiladas = | = Preferência por Aplicações Compiladas = | ||
Edição das 20h02min de 3 de julho de 2009
Organização
- Usem mapas mentais ou grafos direcionados (dígrafos) para ver/compreender a relação entre camadas e serviços de rede. Exemplo:
<graphviz> digraph Serviços { splines = true
subgraph clusterEnlace { label = "Enlace" RADIUS }
subgraph clusterRede { label = "Rede" DHCP }
subgraph clusterAplicacao { label = "Aplicação" DNS HTTP MySQL SMTP IMAP }
RADIUS -> DHCP -> DNS -> HTTP MySQL -> HTTP -> MySQL DNS -> SMTP -> HTTP DNS -> IMAP -> HTTP } </graphviz>
Integração entre Aplicações
- Integrem as aplicações Web com programas ligados ao S.O. Por exemplo, uma página em PHP pode ser agendada para realizar operações de manipulação de arquivos. Exemplo: arquivo /etc/crontab:
... 00 */12 * * * root php -q /var/www/hotel/manipula_arquivo_de_usuarios.php
- Sugestão de integração:
- A aplicação Web controla todas as operações sobre os outros serviços em rede. No banco de dados, ficam armazenadas informações estáticas (nome, endereço) e dinâmicas (entradas, saídas). Já na aplicação do RADIUS, ficam replicados estes usuários, a fim desta aplicação poder autenticá-los conforme o padrão IEEE 802.1x. A integração pode ser feita de forma automatizada, agendando as manipulações de usuários em horários predeterminados. A título de exemplo: todas as entradas e saídas de hospedagem ocorrem às 12h; portanto, é nesse horário específico que usuários ficam (des|h)abilitados a usar a rede com e sem fio.
- A aplicação RADIUS pode utilizar bases remotas de usuários, como por exemplo LDAP ou bancos de dados (MySQL, por exemplo). Entretanto, pela dificuldade de implementação a curto prazo, é aconselhável o uso de arquivos em formato texto próprios do RADIUS (clientes e usuários).
<graphviz> digraph Integração { HTTP -> Cron [label="Agendamento"] Cron -> RADIUS [label="Manipulação de usuários"] HTTP -> MySQL [label="Cadastro de Usuários"] MySQL -> HTTP HTTP -> RADIUS } </graphviz>
Segurança via Filtro de Pacotes
O reforço da segurança via filtro de pacotes é relativamente fácil e rápido de se implementar. Por isso, e pelo resultado aceitável em servidores expostos na rede, é recomendado o seu uso. Entretanto, nunca deve ser considerado como elemento único ou final da proteção. Combinações com IDS e outras aplicações proativas são quase uma obrigatoriedade hoje em dia :-)
Para o projeto, a configuração abaixo pode ser útil:
#!/bin/bash # Caso geral # # Bloqueia tudo iptables -P INPUT DROP # # Libera o mínimo iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # Libera aplicações TCP # # SSH iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT # # HTTP iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT # Libera aplicações UDP # # DHCP iptables -A INPUT -p udp --dport 67 -j ACCEPT # # Autenticação RADIUS (via proxy proxy.sj.ifsc.edu.br) iptables -A INPUT -s proxy.sj.ifsc.edu.br -p udp --dport 1812 -j ACCEPT
Preferência por Aplicações Compiladas
FreeRADIUS
Limpeza do Sistema
- Remoção de antiga(s) instalação(ões):
apt-get remove freeradius*
- Uso do diretório /tmp como "lixeira":
cd /etc mv freeradius* /tmp
Preparação para a Instalação
- Pacotes para a compilação com suporte a SSL/TLS:
- gcc
- g++
- make
- libssl-dev
Instalação
- Download do código-fonte da aplicação:
cd /usr/local/src wget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.6.tar.gz
- Descompactação do código:
tar xzf freeradius-server-2.1.6.tar.gz
- Compilação (usando o diretório /usr/local/freeradius-server-2.1.6 como destino):
cd freeradius-server-2.1.6 ./configure --prefix=/usr/local/freeradius-server-2.1.6 --exec-prefix=/usr/local/freeradius-server-2.1.6 make
- Instalação dos arquivos e criação de links para uso via console:
make install cd /usr/local ln -s freeradius-server-2.1.6 freeradius cd /usr/local/bin ln -s ../freeradius/bin/radtest radtest cd /usr/local/sbin ln -s ../freeradius/sbin/radiusd radiusd
Execução
Como root, inicie o serviço a partir de um console (modo depuração ativado):
radiusd -X
e em outro console (qualquer usuário):
radtest
com os demais parâmetros para testar o serviço.