Bloqueio de SSH com envio de e-mail

Uma boa prática de segurança é limitar acessos SSH aos servidores, há várias formas de fazer e logar  os acessos, nesse exemplo vamos utilizar uma velha ferramenta do GNU/Linux, TCP Wrappers.

De forma resumida, o TCP Wrappers é uma biblioteca com objetivo de criar controles de acessos sobre serviços TCP, ele trabalha com dois arquivos, hosts.allow e hosts.deny, as regras são definidas sobre esses arquivos.

Quando fazemos uma conexão SSH por exemplo, o TCP Wrapper vai analisar primeiramente o hosts.allow e verificar se a conexão é permitida, se o host (sourcE) não estiver presente no arquivo ele vai analisar o hosts.deny procurando alguma regra de bloqueio (por exemplo um ALL ou bloqueio do host específico). Nesse post vamos verificar como bloquear SSH com envio de e-mail e liberando o acesso somente para IP's específicos.

O primeiro passo é editar o arquivo hosts.allow, como abaixo.

#
# hosts.allow   This file describes the names of the hosts which are
#               allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
sshd : [ Endereços liberados para acesso ]


Logo após, editamos o hosts.deny:

#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
sshd : ALL : spawn /bin/echo "$(hostname) - SSH - Acesso DENY - Client %h" |mailx -s "$(hostname) - SSH - Acesso DENY - Client %h" mail1@mail.com,mail2@mail.com

Estamos dizendo para o TCP Wrapper bloquear todos os acessos e enviar um e-mail a cada bloqueio. É possível adicionar vários e-mails bastando adicionar a ",". Também é possível utilizar "expansões", com o "%h" estamos falando para inserir o IP do cliente.

Exemplo do e-mail enviado:

server.hostname.com - SSH - Acesso DENY - Client 192.168.1.40

Claro, também é possível criar um "spawn" para envio de e-mails no hosts.allow.

O TCP Wrappers é um velho conhecido pelos administradores *nix porém pouco utilizado e explorado, a dica acima é um bom começo para incentivar a utilização e estudo da ferramenta.

Segue dicas de leitura:
http://www.cyberciti.biz/faq/tcp-wrappers-hosts-allow-deny-tutorial/
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Server_Security.html

Abraços!

Read More

Trabalhando com sFlow em Switchs Procurve

O sFlow é uma ferramenta para coleta de fluxos de dados, esses fluxos coletados são chamados de samples e podem ser exportados para ferramentas de análise de tráfego assim analisando uso de protocolos, banda etc. Fluxo é uma comunicação 1-to-1, por exemplo uma troca de dados entre um host e um servidor.

Sflow é a opção "aberta" do NetFlow da Cisco e está definido na RFC 3176.

Hoje o Sflow é mantido por uma empresa chamada inmon, essa mesma empresa fornece um software muito bom para analise dos dados chamado sFlowTrend, vamos utilizar essa ferramenta para a coleta.

A configuração é bem simples, no modo de configuração do Switch, basta inserir os seguintes comandos

sflow 1 destination [ IP do Coletor ]

sflow 1 polling [ Portas que serão aplicadas ] [ Tempo de polling ]

sflow 1 sampling[ Portas que serão aplicadas ] [ Numero de pacotes ]

O "sflow 1" é o numero da sessão de sflow, os procurves tem limitação de 3 sessões por switch.

O parâmetro "polling" define que o switch deve coletar as informações a cada X segundos e exportar para o coletor.

Já o "sampling" define a quantidade de pacotes que serão analisados, sendo que será 1 pacote a cada 'N' valor que configurarmos(1/N).

A Inmon faz algumas recomendações sobre a quantidade de sampling a ser configurado, abaixo uma tabela com os valores recomendados de acordo com a velocidade de interface e ambiente.

Fonte: www.inmon.com

O valor de polling recomendado é de 30 segundos.

Abaixo como ficou minha configuração.

sflow 1 destination 10.9.11.254

sflow 1 polling 1-24 30

sflow 1 sampling 1-24 512

Podemos analisar as informações configuradas usando o show sflow.

O comando show sflow destination mostra as informações de destino.

O comando show sflow [ sessão ] sampling-polling permite verificar as configurações de sampling e polling configuradas.

Configurado o destino, podemos instalar o software sFlowTrend da inmon, o software pode ser baixado no link http://www.inmon.com/products/sFlowTrend.php, basta clicar em "Install".

Com o aplicativo aberto, temos que configurar o agente (o switch), para isso vamos em "Tools" e "Configure agents", na janela que abrir clicar em "Add Switch agent", preencher o IP do equipamento e ajustar as informações de SNMP (sim, os flows são recebidos por SNMP, existem MIB's especificas para os flows).

Feito isto, basta aguardar alguns minutos e já é possível verificar as informações através do dashboard.

Na guia "Network" e "Top N" podemos visualizar os "Top Sources".

Os "Top protocols"

Várias informações podem ser consultadas através do "chart".

Bom, hoje o administrador de rede possui várias ferramentas para auxiliar no gerenciamento e troubleshooting de rede porém muitos não as utilizam ou não as conhecem. O sflow é uma ótima opção e está disponível na maioria dos switches atuais no mercado.

Recomendo a leitura  do link abaixo da inmon aonde podemos verificar configurações para diversos vendors e algumas recomendações.

http://www.inmon.com/products/sFlowTrend/help/html/appendix.switch-sflow.cli.html

Read More