Mostrando postagens com marcador firewall. Mostrar todas as postagens
Mostrando postagens com marcador firewall. Mostrar todas as postagens

quinta-feira, 29 de dezembro de 2016

Proxy Transparente pela Tor utilizando OpenWrt

Usando Tor em um Roteador com OpenWrt

O desafio deste artigo é apresentar como se configura uma caixa OpenWrt para que possamos sair para a Internet através da rede Tor de forma transparente para quem se conectar na rede, em inglês, também chamado de Anonymizing Middlebox.

Tor TechneDigitus
Tor: Rede aberta, dentro da Internet que provê robusta, mas não perfeita, camada de anonimado para acesso a Internet.

OpenWrt TechneDigitus
OpenWrt: Firmware baseado em Linux como alternativa de sistema operacional para roteadores domésticos, transformando-os em poderosas e flexíveis ferramentas.

Pré-Requisito não abordado neste artigo: Roteador com OpenWrt instalado

Resumidamente, precisa possuir um roteador compatível com o OpenWrt. Para isso, acesse https://wiki.openwrt.org/toh/start e confira se seu roteador está na lista de roteadores suportados.
Se seu roteador não estiver listado, será necessário arrumar um. A lista de roteadores compatíveis você já tem!
Uma vez identificado que seu router é compatível, é necessário instalar o OpenWrt no mesmo. Cada router ou firmware pode ter um tutorial específico para ele no site da OpenWrt. Porém, eles disponibilizam um artigo genérico para esse procedimento: https://wiki.openwrt.org/doc/howto/generic.flashing

CLI OpenWrt


Primeiro Passo: Instalando o Tor no OpenWrt


1. Logue em seu roteador por CLI
2. Digite opkg update //Para baixar a lista de pacotes disponíveis para instalação
3. Digite opkg install tor //Para instalar o Tor propriamente dito

Passo Dois: Configurando o Tor


1. Faça um backup das configurações originais do Tor com o comando cp /etc/tor/torrc /etc/tor/torrc.bkp
2. Edite o arquivo torrc, como aqui eu já havia previamente instalado o vim (opkg install vim), utilizei o seguinte comando: vim /etc/tor/torrc
3. Apague todo o conteúdo deste arquivo e cole somente as linhas abaixo:

##Configurações Básicas da Tor
User tor
RunAsDaemon 1
PidFile /var/run/tor.pid
DataDirectory /var/lib/tor
VirtualAddrNetwork 10.192.0.0/10 #Esta rede é interna do serviço da Tor
AutomapHostsOnResolve 1              

##Configurações Importantes
TransPort 9040 #Definimos a porta que será utilizada para receber o tráfego TCP que será encaminhado para a Tor
TransListenAddress 192.168.10.1 #Definimos o IP deste router que irá receber as requisições na porta TransPort
DNSPort 9053 #Definimos a porta que será utilizada para receber as requisições DNS que serão encaminhadas para a Tor
DNSListenAddress 192.168.10.1 #Definimos o IP deste router que irá receber as requisições na porta DNSPort

Passo Três: Configurando a Rede


1. Faça um backup das configurações de rede de seu router com o comando cp /etc/config/network /etc/config/network.bkp
2. Abra o arquivo backapeado anteriormente com seu editor de textos vim /etc/config/network

Explanação:
Aqui, configuraremos uma "interface" virtual de rede para nosso roteador utilizar para a Tor. Seguiremos as configurações de rede já expostas anteriormente (192.168.10.0/24).

Basicamente, iremos inserir agora uma sessão "config interface" para a Tor, chamaremos-a de transtor.

Note que em vermelho, estará indicada a interface do roteador que utilizaremos para declarar essa rede. Para ver o nome exato das suas interfaces disponíveis para utilizar neste arquivo de configuração, basta usar o comando ifconfig.

E em amarelo, a máscara e o IP da interface, respectivamente.

3. Insira a sessão abaixo no arquivo network

config interface 'transtor'                                               
        option proto 'static'                                             
        option netmask '255.255.255.0'                                    
        option ipaddr '192.168.10.1'                                      
        option _orig_ifname 'wlan0'                                     
        option _orig_bridge 'false'                                       
        option delegate '0'                                               
        option type 'bridge'                                              
        option ifname 'wlan0'

Passo Quatro: Configurando o DHCP


1. Faça um backup das configurações de dhcp de seu router com o comando cp /etc/config/dhcp /etc/config/dhcp.bkp

2. Abra o arquivo dhcp com seu editor de textos: vim /etc/config/dhcp

Explanação:
Aqui, basicamente adicionaremos uma sessão "config dhcp" para distribuir o endereçamento pela interface transtor criada anteriormente.

3. Insira a sessão abaixo no arquivo dhcp:

config dhcp 'transtor'                     
        option interface 'transtor'              
        option 'start' '100'               
        option 'limit' '150'                     
        option 'leasetime' '12h'

Passo Cinco: Configurando o Firewall Básico


1. Faça um backup das configurações de rede de seu router com o comando cp /etc/config/firewall /etc/config/firewall.bkp

2. Abra o arquivo firewall com seu editor de texto: vim /etc/config/firewall

Explanação:
Aqui basicamente iremos criar uma zona com regras default mais três regras específicas.

3. Insira as sessões abaixo em seu arquivo firewall:

#Na Zona configuramos que toda a entrada e encaminhamento de pacotes para a interface transtor será rejeitada, somente liberando a saída de pacotes por essa interface
config zone
        option name 'transtor'
        option output 'ACCEPT'
        option syn_flood '1'
        option conntrack '1'
        option family 'ipv4'
        option network 'transtor'
        option input 'REJECT'
        option forward 'REJECT'

#Libera tráfego DHCP da Interface transtor oara a porta 67 UDP deste router
config rule
        option name 'DHCP-para-Transtor'
        option src 'transtor'
        option proto 'udp'
        option dest_port '67'
        option target 'ACCEPT'

#Libera tráfego da Interface transtor para a porta 9040 TCP (TransPort) deste router
config rule
        option name 'TransPort-Allow'
        option src 'transtor'
        option proto 'tcp'
        option dest_port '9040'
        option target 'ACCEPT'

#Libera tráfego da Interface transtor para a porta 9053 UDP (DNSPort) deste router
config rule
        option name 'DNSPort-Allow'
        option src 'transtor'
        option proto 'udp'
        option dest_port '9053'
        option target 'ACCEPT'

Passo Seis: Configurando o encaminhamento automático das conexões


Explanação:
Aqui basicamente criaremos regras de redirecionamento do tráfego que nossos computadores conectados na rede transtor enviam para o roteador. Todo tráfego TCP será enviado para a porta 9040 TCP. Todo o tráfego de DNS (Porta 53 UDP) será enviado para a porta 9053 (UDP) do router.
Quem recebe o tráfego das porta 9040 e 9053 é o serviço do Tor. É aqui que a mágica acontece! A resposta do tráfego sai pela interface de volta para seu computador automaticamente graças ao parâmetro ACCEPT na opção option output da Zona transtor que configuramos no firewall.

1. Faça um backup das configurações de rede de seu router com o comando cp /etc/firewall.user /etc/firewall.user.bkp

2. Abra o arquivo firewall com seu editor de texto: vim /etc/firewall.user

3. Insira as duas linhas a seguir neste arquivo:

iptables -t nat -A PREROUTING -i br-transtor -p udp --dport 53 -j REDIRECT --to-ports 9053

iptables -t nat -A PREROUTING -i br-transtor -p tcp --syn -j REDIRECT --to-ports 9040

Atenção - Pulo do Gato:
Como pode ter observado, em vermelho nas linhas acima, utilizamos br-transtor ao invés de wlan0.
Essa é a interface que foi criada (e após um "reboot") pode ser conferida no ifconfig.

Passo Sete: Disponibilizando a interface transtor em uma rede sem fio


1. Faça um backup das configurações de wireless de seu router com o comando cp /etc/config/wireless /etc/config/wireless.bkp

2. Abra o arquivo wireless com seu editor de texto: vim /etc/config/wireless

3. Insira a sessão "config wifi-iface" abaixo conforme a interface de rádio (em vermelho) que desejar. Lembre-se que a senha (option key) e o nome da rede sem fio (option ssid) (ambas em amarelo) devem ser configuradas conforme desejar.

Em caso de dúvidas, observe neste mesmo arquivo, outras redes que podem estar configuradas para que você possa seguir o padrão.

config wifi-iface
        option device 'radio0'
        option key 'senhasupersecreta123'
        option encryption 'psk+tkip'
        option mode 'ap'
        option ssid 'Tor Wifi'
        option network 'transtor'

Passo Oito: Reiniciar tudo e ver a coisa toda funcionando


1. Digite "reboot" na CLI de seu router.

2. Após o reboot, observaremos que a rede wifi "Tor Wifi" apareceu e que, uma vez conectados a ela, estaremos saindo pela Tor.

Por esta rede não poderemos mais acessar a gerência de nosso router. Para checar o IP que estamos recebendo para a Internet e validar se estamos mesmo saindo pela Tor acessando o site: https://check.torproject.org/.

Este deve ser o resultado esperado:

Teste Tor


Possível Passo Nove: Troubleshotting


Pode ser que não dê certo! Pode ser que alguma configuração que citei acima esteja defasada ou seja incompatível com a versão do OpenWrt ou do Tor que você instalou.
Talvez as interfaces estejam erradas...

Tenha em mente que tudo que você fez foi instalar o Tor (você pode desinstalá-lo com opkg remove tor) e algumas alterações nos arquivos torrc, network, dhcp, firewall, firewall.user e wireless e; durante o passo a passo, criamos uma cópia backup para restauração ou consultas em caso de necessidade. (Na hora do troubleshotting vale tudo).

Existem também alguns sites em inglês dos quais me utilizei para aprender a fazer essas configurações e também recomendo que você os consulte:


E se tudo mais falhar...

Nesse caso, encorajo você a me pedir ajuda por E-mail: technedigitus [at] protonmail [dot] ch ou através de comentários neste artigo!

Suas dúvidas ou pedido de ajuda serão de fundamental importância para que este artigo possa ser melhorado!

Se curtiu o artigo, não deixe de compartilhá-lo!


domingo, 27 de novembro de 2016

Iptables no Debian Linux - Configuração Básica

Firewall Iptables Debian Téchne Digitus


Configurando o Firewall Iptables em um Debian Linux

Firewall Iptables Debian Téchne Digitus

Configurações Básicas


Você acaba de instalar um sistema Debian moderno. Por padrão ele vem com o Iptables instalado, ativo e liberando qualquer tráfego!

As linhas a seguir irão demonstrar de forma simples e rápida em como implementar uma política básica de segurança em seu firewall iptables local. 

  1. Verifique as regras atuais
    >
    iptables -L
  2. Como usuário privilegiado, verifique e instale dois pacotes importantes
    >
    apt-get install vim iptables-persistent
  3. Crie um arquivo para testarmos as novas regras, então copie e cole o modelo abaixo:
    >
    editor /etc/iptables.test.rules
    
    *filter
    
    # Permite todo tráfego para a interface loopback (lo0) e descarta todo tráfego para 127/8 que não utilize lo0
    -A INPUT -i lo -j ACCEPT
    -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
    
    
    # Permite a saída de todo tráfego iniciado por seu host
    -A OUTPUT -j ACCEPT
    # Aceita entrada de todas as conexões previamente iniciadas por seu host -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Descomente as duas linhas abaixo para permitir tráfego HTTP e HTTPS a partir de qualquer origem #-A INPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT #-A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT # Descomente a linha abaixo para liberar tráfego SSH a partir de qualquer origem na porta default #-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT # Permitir somente ping via entrada de ICMP - importante para fins de gerência e testes #-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT # Descomente a linha abaixo para logar eventos de tráfego negado (dmesg) #-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 # Rejeita qualquer outro tipo de tráfego não explicitamente liberado nas configurações acima -A INPUT -j REJECT -A FORWARD -j REJECT COMMIT
  4. Ative as regras recém criadas
    >
    iptables-restore < /etc/iptables.test.rules
  5. Cheque as regras que foram aplicadas
    >
    iptables -L
  6. Estando tudo ok, salve as regras no arquivo mestre do iptables
    >
    iptables-save > /etc/iptables.up.rules
  7. Para garantir que as novas regras serã usadas, crie o arquivo iptables no diretórios /etc/network/if-pre-up.d/iptables e copie e cole as linhas abaixo

    >
    editor /etc/network/if-pre-up.d/iptables
     #!/bin/sh
     /sbin/iptables-restore < /etc/iptables.up.rules
  8.  Permita que esse arquivo possa ser executado
    >
    chmod +x /etc/network/if-pre-up.d/iptables

E pronto! Seu Debian está com o Iptables configurado!

segunda-feira, 7 de setembro de 2015

NoRoot Firewall para Android - Saiba (e controle) o que passa por seu telefone

Firewall para Celular

for Android
Firewall para Android - Saiba o que passa por seu telefone

Hoje apresentamos o NoRoot Firewall, um poderoso aplicativo para seu Android.

Ele é capaz de controlar cada tentativa de acesso a Internet feito por qualquer aplicativo de seu smartphone.

Instale o aplicativo e observe através do NoRoot Firewall cada aplicativo que tenta utilizar a sua conexão de internet e então permita ou bloqueie seu acesso.

Confira dois exemplos:

1. Aplicativos default de seu aparelho que não podem ser desinstalados e que você nunca usa: Utilizam sua Internet para enviar informações aos seus desenvolvedores, mesmo quando você não os utiliza! Bloquei-os!

2. Aplicativos como uma simples lanterna que não precisam de Internet, toda vez que são abertos buscam anúncios na Internet. Simplesmente bloqueie-os e acabe com propagandas indesejadas que só gastam sua Internet a toa.

Download
NoRoot Firewall na Playstore

Segue o link para baixar o aplicativo:

https://play.google.com/stor/apps/details?id=app.greyshirts.firewall

 

Overview do Aplicativo - NoRoot Firewall

(01) Primeira guia do aplicativo: "PRINCIPAL"


guia 1
Primeiramente, observarmos que ao clicar em "Iniciar", ele aparentemente se conecta em uma VPN.

Na verdade, não trata-se de VPN de verdade, mas sim a utilização da funcionalidade que permite o uso de VPNs. Isso faz com que todo o tráfego passe pelo aplicativo, que por sua vez irá apresentar para ti o que está passando para aí então, você decidir se deve ou não liberar aquele aplicativo para sair para a Internet.

Uma vez que já estiver utilizando este aplicativo, vale a pena manter selecionadas a opção "Iniciar automaticamente na inicialização". Dessa forma, sempre que ligar seu celular, somente aplicativos permitidos irão se comunicar com a Internet.

(2) Segunda guia: "ACESSO PENDENTE"


guia 2
Como qualquer bom firewall, a regra default é deny. Sendo assim, uma vez iniciado o aplicativo, já estará trabalhando.

Quando um aplicativo tentar utilizar a Internet, será bloqueado e aparecerá nesta tela. Vide imagem abaixo:

guia 2 2
Neste momento, decidimos se iremos permitir ou bloquear o acesso deste aplicativo à Internet.

Importante ressaltar que: uma vez que bloqueie o acesso do aplicativo a Internet, ele pode não funcionar corretamente ou fazer o que foi desenvolvido para fazer.

(3) Terceira guia: APLICATIVOS


guia 3
Aqui podemos visualizar todos os aplicativos instalados no celular, aplicar regras sobre eles ou somente visualizar a regra já aplicada.

(4) Quarta guia: GLOBAL FILTERS


guia 4
Na quarta guia temos opções mais avançadas...

Podemos criar "Pre-Filters" e "Post-Filters".
"Pre-Filters" são executados antes das regras específicas de aplicativos e; "Post-Filters" bloqueiam ou liberam caso as regras em "Pre-Filters" ou "APLICATIVOS" não tomem uma ação.

(5) Quinta guia: "REGISTRO DE ACESSO"


REGISTROS
Esta é a guia mais interessante de todas!

Aqui podemos ver o tráfego passando pelo celular em tempo real. Qual aplicativo, com qual IP externo e, em qual porta se comunicou pela Internet.

Por que este aplicativo é tão importante?

O NoRoot Firewall simplesmente lhe entrega o poder de acesso a Internet de seu celular. Com este aplicativo você escolhe quais outros aplicativos acessarão ou não a Internet.

Isto permite que possamos bloquear aplicativos que não utilizamos de enviar telemetrias aos seus desenvolvedores.

Podemos também bloquear também propagandas em aplicativos que teoricamente não precisam usar a Internet.

Ou seja, utilizando este aplicativo ganhamos privacidade e economizamos banda de Internet.

Se tiver dúvidas, poste-as nos comentários!
Se curtiu o artigo, compartilhe-o com seus amigos e colegas nas redes sociais!

Spread the word

Para saber mais:

terça-feira, 13 de janeiro de 2015

Simulado CCNA Security "IPsec Questions" Disponível em Inglês

Prezados Leitores,

O simulado preparatório para CCNA Security de hoje é sobre o tema IPsec.

IPsec Segundo Wikipedia - Definição
IPsec Segundo Wikipedia - Definição

Este simulado possui um total de 4 questões mais suas respectivas respostas na última página.
Trata-se de um arquivo PDF, com perguntas de simulado em inglês.
Nesta sexta parte (7 de 16), o tema abordado é "IPsec Questions".

Seguem os links para download:

Para visualizar todos os simulados para o CCNA Security já disponibilizados, basta acessar o link: https://technedigitus.blogspot.de/p/simulado-para-ccna-security.html

E BONS ESTUDOS! ;)

Obs.: 3 das 4 questões são referentes a IPS e não IPsec de VPN. Como não fazemos as questões e somente ajuntamos as informações de forma prática, não alteramos nada e só mantemos as questões conforme site do Securitytut. 

segunda-feira, 12 de janeiro de 2015

Simulado CCNA Security "Implementing Firewall Technologies" Disponível em Inglês

Boa Segunda-Feira Prezados Leitores! :)

Mais uma vez, dando continuidade a nossa série de simulados de estudo para a certificação CCNA Security, postamos hoje um simulado sobre implementações de tecnologias de firewalls!
Este simulado possui um total de 11 questões mais suas respectivas respostas e algumas explicações, nas últimas páginas.
Trata-se de um arquivo PDF, com perguntas de simulado em inglês.

Nesta sexta parte (6 de 16), o tema abordado é "Implementing Firewall Technologies".

Seguem os links para download:


Para visualizar todos os simulados para o CCNA Security já disponibilizados, basta acessar o link: https://technedigitus.blogspot.de/p/simulado-para-ccna-security.html

E BONS ESTUDOS! ;)