Téchne Digitus InfoSec Artigos

<índice "[ Hacking ]-[ Redes de Comunicação ]-[ DeepWeb ]-[ Anonimato ]-[ Criptomoedas ]-[ Programação ]-[ InfoSec em Geral ]-[ Off-Topic but Important ]-[ Redes Sociais ]" />

Mostrando postagens com marcador Network. Mostrar todas as postagens
Mostrando postagens com marcador Network. Mostrar todas as postagens
Logo Téchne Digitus InfoSec

Proxy Transparente pela Tor utilizando OpenWrt

Usando Tor em um Roteador com OpenWrt

O desafio deste artigo é apresentar como se configura uma caixa OpenWrt para que possamos sair para a Internet através da rede Tor de forma transparente para quem se conectar na rede, em inglês, também chamado de Anonymizing Middlebox.

Tor TechneDigitus
Tor: Rede aberta, dentro da Internet que provê robusta, mas não perfeita, camada de anonimado para acesso a Internet.

OpenWrt TechneDigitus
OpenWrt: Firmware baseado em Linux como alternativa de sistema operacional para roteadores domésticos, transformando-os em poderosas e flexíveis ferramentas.

Pré-Requisito não abordado neste artigo: Roteador com OpenWrt instalado

Resumidamente, precisa possuir um roteador compatível com o OpenWrt. Para isso, acesse https://wiki.openwrt.org/toh/start e confira se seu roteador está na lista de roteadores suportados.
Se seu roteador não estiver listado, será necessário arrumar um. A lista de roteadores compatíveis você já tem!
Uma vez identificado que seu router é compatível, é necessário instalar o OpenWrt no mesmo. Cada router ou firmware pode ter um tutorial específico para ele no site da OpenWrt. Porém, eles disponibilizam um artigo genérico para esse procedimento: https://wiki.openwrt.org/doc/howto/generic.flashing

CLI OpenWrt


Primeiro Passo: Instalando o Tor no OpenWrt


1. Logue em seu roteador por CLI
2. Digite opkg update //Para baixar a lista de pacotes disponíveis para instalação
3. Digite opkg install tor //Para instalar o Tor propriamente dito

Passo Dois: Configurando o Tor


1. Faça um backup das configurações originais do Tor com o comando cp /etc/tor/torrc /etc/tor/torrc.bkp
2. Edite o arquivo torrc, como aqui eu já havia previamente instalado o vim (opkg install vim), utilizei o seguinte comando: vim /etc/tor/torrc
3. Apague todo o conteúdo deste arquivo e cole somente as linhas abaixo:

##Configurações Básicas da Tor
User tor
RunAsDaemon 1
PidFile /var/run/tor.pid
DataDirectory /var/lib/tor
VirtualAddrNetwork 10.192.0.0/10 #Esta rede é interna do serviço da Tor
AutomapHostsOnResolve 1              

##Configurações Importantes
TransPort 9040 #Definimos a porta que será utilizada para receber o tráfego TCP que será encaminhado para a Tor
TransListenAddress 192.168.10.1 #Definimos o IP deste router que irá receber as requisições na porta TransPort
DNSPort 9053 #Definimos a porta que será utilizada para receber as requisições DNS que serão encaminhadas para a Tor
DNSListenAddress 192.168.10.1 #Definimos o IP deste router que irá receber as requisições na porta DNSPort

Passo Três: Configurando a Rede


1. Faça um backup das configurações de rede de seu router com o comando cp /etc/config/network /etc/config/network.bkp
2. Abra o arquivo backapeado anteriormente com seu editor de textos vim /etc/config/network

Explanação:
Aqui, configuraremos uma "interface" virtual de rede para nosso roteador utilizar para a Tor. Seguiremos as configurações de rede já expostas anteriormente (192.168.10.0/24).

Basicamente, iremos inserir agora uma sessão "config interface" para a Tor, chamaremos-a de transtor.

Note que em vermelho, estará indicada a interface do roteador que utilizaremos para declarar essa rede. Para ver o nome exato das suas interfaces disponíveis para utilizar neste arquivo de configuração, basta usar o comando ifconfig.

E em amarelo, a máscara e o IP da interface, respectivamente.

3. Insira a sessão abaixo no arquivo network

config interface 'transtor'                                               
        option proto 'static'                                             
        option netmask '255.255.255.0'                                    
        option ipaddr '192.168.10.1'                                      
        option _orig_ifname 'wlan0'                                     
        option _orig_bridge 'false'                                       
        option delegate '0'                                               
        option type 'bridge'                                              
        option ifname 'wlan0'

Passo Quatro: Configurando o DHCP


1. Faça um backup das configurações de dhcp de seu router com o comando cp /etc/config/dhcp /etc/config/dhcp.bkp

2. Abra o arquivo dhcp com seu editor de textos: vim /etc/config/dhcp

Explanação:
Aqui, basicamente adicionaremos uma sessão "config dhcp" para distribuir o endereçamento pela interface transtor criada anteriormente.

3. Insira a sessão abaixo no arquivo dhcp:

config dhcp 'transtor'                     
        option interface 'transtor'              
        option 'start' '100'               
        option 'limit' '150'                     
        option 'leasetime' '12h'

Passo Cinco: Configurando o Firewall Básico


1. Faça um backup das configurações de rede de seu router com o comando cp /etc/config/firewall /etc/config/firewall.bkp

2. Abra o arquivo firewall com seu editor de texto: vim /etc/config/firewall

Explanação:
Aqui basicamente iremos criar uma zona com regras default mais três regras específicas.

3. Insira as sessões abaixo em seu arquivo firewall:

#Na Zona configuramos que toda a entrada e encaminhamento de pacotes para a interface transtor será rejeitada, somente liberando a saída de pacotes por essa interface
config zone
        option name 'transtor'
        option output 'ACCEPT'
        option syn_flood '1'
        option conntrack '1'
        option family 'ipv4'
        option network 'transtor'
        option input 'REJECT'
        option forward 'REJECT'

#Libera tráfego DHCP da Interface transtor oara a porta 67 UDP deste router
config rule
        option name 'DHCP-para-Transtor'
        option src 'transtor'
        option proto 'udp'
        option dest_port '67'
        option target 'ACCEPT'

#Libera tráfego da Interface transtor para a porta 9040 TCP (TransPort) deste router
config rule
        option name 'TransPort-Allow'
        option src 'transtor'
        option proto 'tcp'
        option dest_port '9040'
        option target 'ACCEPT'

#Libera tráfego da Interface transtor para a porta 9053 UDP (DNSPort) deste router
config rule
        option name 'DNSPort-Allow'
        option src 'transtor'
        option proto 'udp'
        option dest_port '9053'
        option target 'ACCEPT'

Passo Seis: Configurando o encaminhamento automático das conexões


Explanação:
Aqui basicamente criaremos regras de redirecionamento do tráfego que nossos computadores conectados na rede transtor enviam para o roteador. Todo tráfego TCP será enviado para a porta 9040 TCP. Todo o tráfego de DNS (Porta 53 UDP) será enviado para a porta 9053 (UDP) do router.
Quem recebe o tráfego das porta 9040 e 9053 é o serviço do Tor. É aqui que a mágica acontece! A resposta do tráfego sai pela interface de volta para seu computador automaticamente graças ao parâmetro ACCEPT na opção option output da Zona transtor que configuramos no firewall.

1. Faça um backup das configurações de rede de seu router com o comando cp /etc/firewall.user /etc/firewall.user.bkp

2. Abra o arquivo firewall com seu editor de texto: vim /etc/firewall.user

3. Insira as duas linhas a seguir neste arquivo:

iptables -t nat -A PREROUTING -i br-transtor -p udp --dport 53 -j REDIRECT --to-ports 9053

iptables -t nat -A PREROUTING -i br-transtor -p tcp --syn -j REDIRECT --to-ports 9040

Atenção - Pulo do Gato:
Como pode ter observado, em vermelho nas linhas acima, utilizamos br-transtor ao invés de wlan0.
Essa é a interface que foi criada (e após um "reboot") pode ser conferida no ifconfig.

Passo Sete: Disponibilizando a interface transtor em uma rede sem fio


1. Faça um backup das configurações de wireless de seu router com o comando cp /etc/config/wireless /etc/config/wireless.bkp

2. Abra o arquivo wireless com seu editor de texto: vim /etc/config/wireless

3. Insira a sessão "config wifi-iface" abaixo conforme a interface de rádio (em vermelho) que desejar. Lembre-se que a senha (option key) e o nome da rede sem fio (option ssid) (ambas em amarelo) devem ser configuradas conforme desejar.

Em caso de dúvidas, observe neste mesmo arquivo, outras redes que podem estar configuradas para que você possa seguir o padrão.

config wifi-iface
        option device 'radio0'
        option key 'senhasupersecreta123'
        option encryption 'psk+tkip'
        option mode 'ap'
        option ssid 'Tor Wifi'
        option network 'transtor'

Passo Oito: Reiniciar tudo e ver a coisa toda funcionando


1. Digite "reboot" na CLI de seu router.

2. Após o reboot, observaremos que a rede wifi "Tor Wifi" apareceu e que, uma vez conectados a ela, estaremos saindo pela Tor.

Por esta rede não poderemos mais acessar a gerência de nosso router. Para checar o IP que estamos recebendo para a Internet e validar se estamos mesmo saindo pela Tor acessando o site: https://check.torproject.org/.

Este deve ser o resultado esperado:

Teste Tor


Possível Passo Nove: Troubleshotting


Pode ser que não dê certo! Pode ser que alguma configuração que citei acima esteja defasada ou seja incompatível com a versão do OpenWrt ou do Tor que você instalou.
Talvez as interfaces estejam erradas...

Tenha em mente que tudo que você fez foi instalar o Tor (você pode desinstalá-lo com opkg remove tor) e algumas alterações nos arquivos torrc, network, dhcp, firewall, firewall.user e wireless e; durante o passo a passo, criamos uma cópia backup para restauração ou consultas em caso de necessidade. (Na hora do troubleshotting vale tudo).

Existem também alguns sites em inglês dos quais me utilizei para aprender a fazer essas configurações e também recomendo que você os consulte:


E se tudo mais falhar...

Nesse caso, encorajo você a me pedir ajuda por E-mail: technedigitus [at] protonmail [dot] ch ou através de comentários neste artigo!

Suas dúvidas ou pedido de ajuda serão de fundamental importância para que este artigo possa ser melhorado!

Se curtiu o artigo, não deixe de compartilhá-lo!


Logo Téchne Digitus InfoSec

Iptables no Debian Linux - Configuração Básica

Firewall Iptables Debian Téchne Digitus


Configurando o Firewall Iptables em um Debian Linux

Firewall Iptables Debian Téchne Digitus

Configurações Básicas


Você acaba de instalar um sistema Debian moderno. Por padrão ele vem com o Iptables instalado, ativo e liberando qualquer tráfego!

As linhas a seguir irão demonstrar de forma simples e rápida em como implementar uma política básica de segurança em seu firewall iptables local. 

  1. Verifique as regras atuais
    >
    iptables -L
  2. Como usuário privilegiado, verifique e instale dois pacotes importantes
    >
    apt-get install vim iptables-persistent
  3. Crie um arquivo para testarmos as novas regras, então copie e cole o modelo abaixo:
    >
    editor /etc/iptables.test.rules
    
    *filter
    
    # Permite todo tráfego para a interface loopback (lo0) e descarta todo tráfego para 127/8 que não utilize lo0
    -A INPUT -i lo -j ACCEPT
    -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
    
    
    # Permite a saída de todo tráfego iniciado por seu host
    -A OUTPUT -j ACCEPT
    # Aceita entrada de todas as conexões previamente iniciadas por seu host -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Descomente as duas linhas abaixo para permitir tráfego HTTP e HTTPS a partir de qualquer origem #-A INPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT #-A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT # Descomente a linha abaixo para liberar tráfego SSH a partir de qualquer origem na porta default #-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT # Permitir somente ping via entrada de ICMP - importante para fins de gerência e testes #-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT # Descomente a linha abaixo para logar eventos de tráfego negado (dmesg) #-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 # Rejeita qualquer outro tipo de tráfego não explicitamente liberado nas configurações acima -A INPUT -j REJECT -A FORWARD -j REJECT COMMIT
  4. Ative as regras recém criadas
    >
    iptables-restore < /etc/iptables.test.rules
  5. Cheque as regras que foram aplicadas
    >
    iptables -L
  6. Estando tudo ok, salve as regras no arquivo mestre do iptables
    >
    iptables-save > /etc/iptables.up.rules
  7. Para garantir que as novas regras serã usadas, crie o arquivo iptables no diretórios /etc/network/if-pre-up.d/iptables e copie e cole as linhas abaixo

    >
    editor /etc/network/if-pre-up.d/iptables
     #!/bin/sh
     /sbin/iptables-restore < /etc/iptables.up.rules
  8.  Permita que esse arquivo possa ser executado
    >
    chmod +x /etc/network/if-pre-up.d/iptables

E pronto! Seu Debian está com o Iptables configurado!
Logo Téchne Digitus InfoSec

DICA: Como Recuperar Senha de um Roteador Cisco 2800 Series

Olá Leitores e Visitantes ocasionais do Téchne Digitus! :)


Router Cisco 2800 Series Téchne Digitus InfoSec

Esta página apresenta um passo a passo de como obter ou recuperar acesso a um roteador Cisco 2800 Series (se ele não for igual, deve ser bem parecido com o da imagem acima).

Vamos ao que interessa:

Pré-Requisitos:

- Acesso Físico ao Router
- Cabo console conectado a sua máquina e o programa de terminal (Putty, por exemplo) configurado com os seguintes parâmetros:

  • 9600 baud rate 
  • No parity 
  • 8 data bits 
  • 1 stop bit 
  • No flow control 

Procedimento: 

1) Desligue o Router

2) Remova a Compact Flash

3) Ligue o Router

4) Digite: confreg 0X2142 

5) Insira a Compact Flash

6) Digite: reset

7) Quando for aparecer algo do tipo "enter the initial configuration", digite: no

8) Digite: enable

9) Digite: configure memory 

10) A partir deste momento, você poderá visualizar as configurações e quebrar qualquer password type 7 que estiver disponível, pode fuçar em todas as configurações e depois sair sem alterar nada... Ou simplesmente alterar a senha desejada e salvar ela nas configurações!

Quando estiver satisfeito, vá para o passo 11.

11) No modo de configuração global (conf t), digite: config-register 0X2102 

12) Digite: do wr 

13) Digite: do reload 


E pronto! O router agora é seu!


pass technedigitus


Para saber mais:


Vídeo Relacionado:

Laboratório Packet Tracer ACLs Parâmetro Established

Logo Téchne Digitus InfoSec

Quatro coisas que todo profissional de redes deveria saber


Neste artigo listamos 4 coisas fundamentais que todo profissional da área de Redes de Comunicação deveria conhecer.

1ª) Putty - O melhor utilitário de acesso CLI


Putty (Site oficial: https://www.putty.org/)


É um cliente para terminais de acesso. Suporta conexões Raw, Telnet, Rlogin, SSH e Serial. Possui recursos interessantes... Na categoria "Session" tem opções de "Logging", que permite salvar tudo que foi feito durante uma sessão. Outros recursos interessantes estão na categoria "Connection", onde podemos até configurar um proxy para que o acesso não seja feito diretamente de nossa origem.

Putty - Téchne Digitus InfoSec

2ª) Calculadores de Endereçamento de Redes


CIDR Calculator (Site oficial: https://github.com/rmceoin/cidrcalculator):


Para usuários de celular com Android, instalem através do link: https://play.google.com/store/apps/details?id=us.lindanrandy.cidrcalculator.

Este tipo de utilitário é fundamental para que tenhamos agilidade no entendimento e resoluções de problemas do dia a dia quando o assunto é redes, endereçamento IP, subnetting etc.


cidrcalculator-technedigitus


3ª) Cabeamento básico de acesso a equipamentos


Veja a seguir, três tipos de cabos que todo analista de redes deve ter na mochila:



- Cabo Console

console-cable-technedigitus


Também conhecido como Rollover, é usado para conectar na porta console de equipamentos para acesso console local. Muito usado em primeiras configurações de equipamentos ou operações diretamente em equipamentos em racks de datacenters.


- Cabo Adaptador USB p/ Serial (ou USB2DB9)


usb-serial-technedigitus
Serve para conectar o cabo console com a USB. Basicamente irá "interfacear" o rollover com o seu notebook que, certamente não terá uma porta serial, uma vez que a maioria dos notebooks hoje não possuem mais esta porta. 


- Patch Cord CAT6

patchcord-cat6-technedigitus

Este é o cabo de rede normal. Tenha sempre o seu a mão! Ter esse tipo de coisa a sua disposição pode economizar muito tempo durante um serviço... E ser do tipo CAT6 é importante porque suporta 1 Gbps de transferência... Detalhe que pode ajudar a economizar tempo em operações do dia a dia.


4ª) Links Úteis


Dois sites que devem estar na barra de favoritos de seu browser:

- Internet Speed Test: https://sourceforge.net/speedtest/?source=slashdot-announcement


Teste de Banda e Latência de Internet totalmente em HTML5 compatível com navegadores de qualquer dispositivo moderno.

- InfoByIP: https://www.infobyip.com/


Identifica seu IP de origem (ou o IP que você inserir) e ainda trás informações úteis sobre provedor, localidade etc.


---

Logo Téchne Digitus InfoSec

Links Agregados no HP Tipping Point IPS

TippingPoint

Título: O HP TippingPoint IPS suporta EtherChannel ou LACP?

Sumário: Este texto tem o propósito de discutir o suporte de dispositivos IPS HP TippingPoint a Etherchannel ou Link Aggegation.

O IPS HP TippingPoint suporta o Etherchannel da Cisco e o Link Aggregation Protocol (LACP) do IEEE. No entanto, toda as configurações de agregação são realizadas no switch e no IPS por eles mesmos e não há configuração de agregação específica. A única questão com links agregados no IPS é que, para manter as operações de IPS, o protocolo de agregação não deve ser configurado com nenhum tipo de algoritmo balanceador de carga (por exemplo: Round Robin, Active-Backup Policy) para o tráfego. Enquanto "Roud Robin" é ótimo para balanceamento de tráfego por múltiplos links, o fato é que isso não é bom para as inspeções de pacote do IPS. A afinidade do tráfego precisa ser mantida e isso significa ter que usar um algoritmo de agregação que use o IP como origem. Isso garante que cada fragmento de tráfego vai passar pelo mesmo segmento.

Para configurar um IPS para utilizar agregação de link, o usuário precisar setar o número apropriado de segmentos. Por exemplo, uma agregação de 4 links, ele vai precisar colocar 4 segmentos (8 portas) para a agregação das conexões de link. Quatro portas (1A, 2A, 3A, 4A) vem do switch 1 e 4 portas (1B, 2B, 3B, 4B) vão para o switch 2. Veja o esquema na topologia abaixo:

Exemplo de Agregação de Link

Grupos de Segmentos


O usuário também pode criar "Segment Groups". Grupo de segmento é um agrupamento de segmentos de um dispositivo, físico ou virtual, que está configurado para uma combinação específica de perfil de filtragem. Conforme o exemplo acima, o usuário poderia criar um Grupo de Segmentos (Segment Group) para todas as portas "A" (inbound/entrada) e outro grupo de segmentos de portas "B" (outbound/saída) e aplicar os perfis de acordo.

Procedimento: Como Criar um Segment Group


  1. Logue no cliente SMS.
  2. Na barra de ferramentas do SMS, navegue para "Devices" >> "All Devices" e expanda a guia.
  3. Selecione a guia "Segment Group".
  4. Para criar um novo "Segment Group", faça o seguinte:
    • Clique em "New"
    • Clique com o botão direito e selecione "New".
    • No menu superior, selecione "File" >> New >> Segment Group.
  5. Aparecerá a caixa "Segment Group Edit".
  6. No campo "Group Name", coloque o nome do grupo.
  7. No painel "Non Members", selecione como você quer organizar a lista: por Device ou por Segment Group.
  8. Selecione um ou mais dispositivos da lista, Você pode selecionar múltiplos dispositivos, clicando e arrastando seu cursor pelos nomes e usando as teclas Shift e Ctrl.
  9. Clique na seta para direita e mova o dispositivo selecionado como membro do grupo do painel direito.
  10. Clique em OK. O grupo de segmento aparecerá no painel de navegação Devices e na tela Segment Group.
--

Para saber mais:
Logo Téchne Digitus InfoSec

Como resetar a senha de uma conta "SuperUser" em um TippingPoint NX IPS

Reset de Senha HP TippingPoint

Procedimento passo-a-passo de como resetar a senha de um IPS HP TippingPoint.

Intodução ao HP Tipping Point IPS

O TippingPoint é um equipamento IPS da HP.

TippingPoint no RackIPS é Intrusion Prevention System, ou seja um sistema de prevenção a intrusões. Ele basicamente é colocado como uma bridge na rede (pega as informações de um lado e joga para o outro) enquanto analisa o tráfego em nível de camada 7 (que é a camada de aplicação de acordo com o modelo OSI).

Funciona mais ou menos como um anti-vírus de rede. Pois ele analisa o tráfego que está passando e consegue identificar tráfegos de ataques, como por exemplo um SQL-Injection ou comandos de controle de um client de uma botnet.


IPS Topology

Procedimento: Reset de Senha ou Criação de Usuário em casos de Emergência no HP TippingPoint


Primeiramente, devemos deixar claro que não é possível recuperar uma senha, ou seja, descobrir qual a senha que está configurada. Mas existe um procedimento que permite a criação de um novo usuário, alteração da senha de um usuário existente e até mesmo, alterar a o nível do privilégio daquela conta.

No HP TippingPoint temos três  níveis de privilégio que podem ser parametrizados em uma conta:

  • Nível 0: Um password não precisa nem ser definido. Qualquer senha e/ou formato são aceitos.
  • Nível 1: Pelo menos oito caracteres.
  • Nível 2: (padrão): Pelo menos oito caracteres, pelo menos duas letras, pelo menos dois números e pelo menos um carácter alfa-numérico.
  1. Conecte no dispositivo NX IPS via porta serial de console usando um cabo console pullover. No software de acesso ao terminal (Putty, o mais utilizado) configure os seguintes parâmetros: 115200bps, 8 Data Bits, No Parity, 1 Stop Bit.
    Configurações no Putty para acesso ao Console do TippingPoint
    Configurações no Putty para acesso ao Console do TippingPoint
  2. Reinicie o equipamento.
  3. Aguarde as primeiras linhas de carregamento... Espere até o momento de aparecer "Loading".

    Iniciando o TippingPoint
  4. Digite: "mkey" sem as aspas e aperte a tecla <Enter>.

    "mkey" para acessar o modo de reset e escolhendo o nível de privilégio
    Observação: após o "Loading" aparecer, você terá 3 segundos para digitar antes de aparecer uns pontinhos. Se aparecerem antes do procedimento, será necessário reiniciar novamente o dispositivo.
  5. Escolha o nível de privilégio e clique <Enter>.
  6. Escreva o nome da conta que quer resetar a senha (ou criar).

    Escolhendo o nome de login no HP TippingPoint
  7. Confirme o nome do usuário (Y/N) e clique <Enter>.

    Confirmando o nome de usuário no HP TippingPoint
  8. Entre com a nova senha e clique <Enter>.
  9. Confirme a nova senha e clique <Enter>.

    Entrando com uma nova Senha no HP TippingPoint
  10. Logue no equipamento com a senha que acabou de criar.
Senha do HP TippingPoint Resetada



Para saber mais:

Logo Téchne Digitus InfoSec

DANE, um novo conceito para segurança de domínios - O que é o DANE?

Introdução a DNS-Based Authentication of Named Entities

Neste artigo, apresentaremos uma nova tecnologia de segurança contra falsificações de sites.
Existe uma nova tecnologia que vem sendo solidamente discutida desde meados de 2011 e consolidando-se finalmente em 2012 em uma RFC, definindo um novo protocolo capaz de melhorar (e muito!) a segurança em certificados de nomes de websites. Garantindo de forma mais confiável que um site é o site que parece ser.

O nome desta tecnologia é DANE.

DNS-Based Authentication of Named Entities
DANE
Phishing Scam - O "Contra-Ataque" Parte III

Em termos técnicos, DANE é...

DNS-Based Authentication of Named Entities ou, em tradução literal, Autenticação Baseada em DNS para Entidades Nomeadas.  O DANE foi definido na RFC 6698 em Agosto de 2012.

Trata-se é um protocolo que permite certificados X.509, normalmente utilizados por TLS (Transport Layer Security), sejam associados a nomes DNS utilizando a tecnologia DNSSEC (Domain Name System Security Extensions).

Para saber mais sobre DNSSEC >> Uma Introdução ao DNSSEC

Super HTTPS


DANE - Téchne Digitus InfoSecBasicamente, a criptografia TLS/SSL é atualmente baseada em certificados gerados por CAs (Certificate Authorities). Esses CAs validam se o certificado apresentado pelo site com o certificado registrado em seu banco de dados. Assim, o CA pode averiguar se aquele domínio pertence ou não àquele site.

Porém, nos últimos anos, um considerável número de provedores CA sofreram com sérias falhas de segurança, permitindo aplicar certificados de domínios conhecidos para domínios que não os possuíam de fato.

Confiar em um grande número de CAs pode ser um problema pois qualquer CA vulnerável pode emitir um certificado para qualquer domínio.

O DANE permite que o administrador do nome de domínio certifique as chaves usadas em clientes ou servidores TLS, guardando-as em um DNS. O DANE precisa de DNS records (registros de DNS) para ser assinado com DNSSEC.

O DANE também permite que um administrador de domínio especifique qual CA é permitido para conferir o certificado de um recurso específico, fato que resolve o problema de qualquer CA ser capaz de verificar um certificado de um domínio.

DANE2 Téchne Digitus InfoSec

DANE na prática...

Para verificar a identidade de um site através do DANE é necessário que um plug-in seja instalado em seu browser.

O DANE, embora ainda seja uma aplicação relativamente recente do DNSSEC, já começa ser adotado por sites e serviços alternativos como o Tutanota, servidor de E-mail seguro e gratuito!

No Blog do Tutanota, encontramos um passo a passo de como instalar esse plugin: https://tutanota.com/blog/posts/tutanota-uses-dane-on-top-of-ssl-pfs/



Para saber mais:
- Phishing Scam - O "Contra-Ataque"
- Uma Introdução ao DNSSEC
- Tutanota - Serviço Alemão de E-mail Seguro e Gratuito
Logo Téchne Digitus InfoSec

Uma Introdução ao DNSSEC

Introdução

Os sistemas de DNS não foram originalmente desenvolvidos para serem seguros. Não há como verificar a autenticidade de um nome DNS a não ser pelo próprio servidor de nomes (Domain Name Server).

Para tentar resolver este problema, criou-se o DNSSEC.

DNSSEC Logo Téchne Digitus
Phishing Scam - O "Contra-Ataque" Parte II

O que é DNSSEC?

DNSSEC significa Extensão de Segurança para DNS.

Especificado pelas RFCs 4033, 4034, 4035 e 5155, visa proteger contra DNS Spoofing e Envenenamento de Cache (Cache Poisoning).

Técnicas como DNS Spoofing ou Cache Poisoning são um incremento em ataques de Phishings, que basicamente simula ser o que não é para persuadir o usuário a cair em algum tipo de golpe.

Ou seja, DNSSEC pode considerado um mecanismo Anti-Phishing!

O DNSSEC faz com que um serviço de DNS armazene chaves criptográficas de identidades digitais e verificá-las a cada acesso.

Como funciona o DNSSEC?

Primeiro, vamos observar como funciona uma solicitação de DNS Normal (Sem o DNSSEC):

Como funciona o DNSSEC Imagem 01 Téchne Digitus
Resolução Sem DNSSEC

Resolução sem DNSSEC:
  1. Usuário solicita resolução de um nome para seu servidor DNS;
  2. Seu servidor DNS solicita a referência do domínio para o servidor raiz;
  3. Servidor raiz responde o servidor autoridade sobre aquele tipo de domínio;
  4. Servidor de DNS solicita referência ao servidor de autoridade sobre aquele tipo de domínio;
  5. Servidor de autoridade responde com informações de quem é o servidor daquele nome;
  6. Servidor de DNS envia solicitação de resolução para o servidor de DNS daquele nome;
  7. Servidor de DNS responsável por aquele nome responde para o servidor de DNS do usuário;
  8. Servidor de DNS do usuário responde a resolução para o usuário.


Agora vamos ver como funciona a resolução de nomes com DNSSEC:

Como funciona o DNSSEC Imagem 02 Téchne Digitus
Resolução de nomes com DNSSEC
Resolução COM DNSSEC:
  1. Usuário solicita resolução de um nome para seu servidor DNS;
  2. Seu servidor DNS solicita a referência do domínio para o servidor raiz - porém, o servidor de DNS do usuário possui a chave pública do servidor raiz.  Ou seja, se a resposta não vier dele, ela não será aceita;
  3. Servidor raiz responde o servidor autoridade sobre aquele tipo de domínio com a informação da chave pública daquele servidor de autoridade, ou seja, se a resposta não vier de um servidor com a chave correta, ela não será aceita;
  4. Servidor de DNS solicita referência ao servidor de autoridade sobre aquele tipo de domínio;
  5. Servidor de autoridade responde com informações de quem é o servidor daquele nome (se resposta vier com a chave certa, o servidor de DNS do Usuário vai até o servidor do nome destino) somando a chave pública do servidor de DNS do nome destino;
  6. Servidor de DNS envia solicitação de resolução para o servidor de DNS daquele nome usando a chave pública do servidor de DNS do nome destino;
  7. Servidor de DNS responsável por aquele nome responde para o servidor de DNS do usuário se ele for o servidor correto (que tenha a chave privada daquela resolução);
  8. Servidor de DNS do usuário responde a resolução para o usuário.
Em resumo, o DNSSEC forma uma rede de confiança entre servidores de DNS utilizando chaves digitais de identificação. Se alguém dessa cadeia de comunicação não possuir a chave privada necessária, a operação irá falhar e a resolução não irá ocorrer.

Principais características do DNSSEC

  • Uso de chaves públicas de criptografia;
  • Cada zona tem uma chave pública e outra privada (tipicamente um nível dois de hierarquia (KSK e ZSK);
  • Chaves públicas são usadas pelos resolvedores de DNS para validar as assinaturas (autenticação);
  • Chaves públicas de zonas são organizadas na escala de confiança que segue a hierarquia de delegação do DNS;
  • Resolvedores autenticam as assinaturas com os servidores raízes das zonas que contém o nome solicitado.

Tipos Adicionais de Registro


Registros X Descrição Téchne Digitus

Dois Videos Rápidos Sobre DNSSEC







Logo Téchne Digitus InfoSec

Simulado CCNA Security "Implementing Firewall Technologies" Disponível em Inglês

Boa Segunda-Feira Prezados Leitores! :)

Mais uma vez, dando continuidade a nossa série de simulados de estudo para a certificação CCNA Security, postamos hoje um simulado sobre implementações de tecnologias de firewalls!
Este simulado possui um total de 11 questões mais suas respectivas respostas e algumas explicações, nas últimas páginas.
Trata-se de um arquivo PDF, com perguntas de simulado em inglês.

Nesta sexta parte (6 de 16), o tema abordado é "Implementing Firewall Technologies".

Seguem os links para download:


Para visualizar todos os simulados para o CCNA Security já disponibilizados, basta acessar o link: https://technedigitus.blogspot.de/p/simulado-para-ccna-security.html

E BONS ESTUDOS! ;)
Logo Téchne Digitus InfoSec

Simulado CCNA Security "Authentication Authorization & Accounting" Disponível em Inglês

Caros Leitores,

Hoje trazemos mais um simulado para série de Simulados para o CCNA Security. O simulado de hoje é sobre "Authentication Authorization & Accounting"!
Este simulado possui um total de 14 questões mais suas respectivas respostas e algumas explicações, nas últimas páginas.
Trata-se de um arquivo PDF, com perguntas de simulado em inglês.

Nesta quinta (5 de 16), o tema abordado é "Authentication Authorization & Accounting".

Seguem os links para download:


Para visualizar todos os simulados para o CCNA Security já disponibilizados, basta acessar o link: https://technedigitus.blogspot.de/p/simulado-para-ccna-security.html

E BONS ESTUDOS! ;)
Logo Téchne Digitus InfoSec

Simulado CCNA Security "Securing Network Devices" Disponível em Inglês

Olá Prezados Leitores!

Dando continuidade a nossa série de postagens com simulados para o exame do CCNA Security dividido por temas, trazemos hoje um simulado com um número maior de questões sobre o tema "Securing Network Devices"!
Este simulado possui um total de 17 questões mais suas respectivas respostas e algumas explicações, nas últimas páginas.
Trata-se de um arquivo PDF, com perguntas de simulado em inglês.

Nesta quarta parte (4 de 16), o tema abordado é "Securing Network Devices".

Seguem os links para download:


Para visualizar todos os simulados para o CCNA Security já disponibilizados, basta acessar o link: https://technedigitus.blogspot.de/p/simulado-para-ccna-security.html

E BONS ESTUDOS! ;)
Logo Téchne Digitus InfoSec

Simulado CCNA Security "Modern Network Security Threats" Disponível em Inglês

Hoje é o terceiro dia da série de simulados para o exame de certificação para o CCNA Security! E pela primeira vez na história deste blog, um post por dia por três dias consecutivos! :)

O tema deste breve simulado, menor ainda que o anterior, com somente quatro questões é "Modern Network Security Threats"!
Este simulado possui um total de 4 questões mais suas respectivas respostas na última página.
Trata-se de um arquivo PDF, com perguntas de simulado em inglês.

Nesta terceira parte (3 de 16), o tema abordado é "Modern Network Security Threats".

Seguem os links para download:


Para visualizar todos os simulados para o CCNA Security já disponibilizados, basta acessar o link: https://technedigitus.blogspot.de/p/simulado-para-ccna-security.html



E BONS ESTUDOS! ;)