Para mudar as permissões de um arquivo ou diretório do servidor, você tem que utilizar o comando chmod.
Em geral, qualquer comando de linux ou unix tem uma ajuda, que você pode ver invocando ao comando, seguido com o parâmetro -help. Algo como isto:
chmod --help
Este comando em concreto tem várias sintaxes permitidas. Ente elas, por exemplo, pode utilizar:
chmod [opcoes] modo-em-octal arquivo
As opções podem ser indicadas ou não, segundo queiramos. Opções típicas são:
• -R para que olhe também nos subdiretórios da rota.
• - v para que mostre cada arquivo processado
• - c é como -v, porém só avisa dos arquivos que modifica suas permissões
O modo em octal é um número em base 8 (octal) que especifica a permissão. Os números em octal se especificam começando o número por um 0. Por exemplo, 0777 indica todos as permissões possíveis para todos os tipos de usuário. 0666 indica que se dão permissões de leitura e escritura, porém não de execução. 0766 indica que se dão permissões de leitura e escritura, porém somente tem permissão de execução para os usuários que são donos do arquivo. 0755 indica permissões para leitura e execução, porém escritura só para o usuário que é o dono do arquivo.
Por exemplo:
chmod 0777 arquivo.txt
Atribui todas as permissões ao arquivo arquivo.txt
chmod 0666 *
Atribui permissões de leitura e escritura, não de execução a todos os arquivos e diretórios do diretório onde executamos o comando.
chmod -R 0644 *
Isto dá permissões a todos os arquivos e diretórios do diretório onde se invoca o comando e de todos os diretórios que estão pendurados nele. As permissões atribuídas são de leitura a todos os usuários, de escritura só ao dono do arquivo e de execução a ninguém.
Outro modo de trabalho com chmod
Logo também se podem atribuir permissões de outra maneira, utilizando outra possível sintaxe de chmod, que talvez resulte mais útil se não quisermos tratar com os valores em octal.
chmod [opcoes] modo[,modo]… arquivo
Para isso temos que ter claros os distintos grupos de usuários:
• u: usuário dono do arquivo
• g: grupo de usuários do dono do arquivo
• o: todos os outros usuários
• a: todos os tipos de usuário (dono, grupo e outros)
Também há que saber a letra que abrevia cada tipo de permissão:
• r: se refere às permissões de leitura
• w: se refere às permissões de escritura
• x: se refere às permissões de execução
Exemplos
chmod o=rwx *
Atribui permissões de leitura, escritura e execução para os usuários "outros" a todos os arquivos da pasta.
chmod a=rwx arquivo.txt
Atribui todos as permissões a todos os usuários para o arquivo fichero.txt
chmod go= *
Tira todas as permissões para os usuários do grupo e os outros usuários.
chmod u=rwx,g=rw,o= *
Dá todos as permissões ao dono do arquivo, aos do grupo do dono lhe atribui permissões de leitura e escritura e aos outros usuários lhes tira todas as permissões.
Nota:um espaço depois da vírgula "," nos distintos modos de permissões que se indiquem faz falhar o comando.
chmod a=r *
Dá permissões unicamente de leitura a todos os tipos de usuário.
De um modo parecido ao que acabamos de ver, também se podem adicionar ou tirar permissões com os operadores + e -. Para isso, se indica o tipo de usuário e a permissão que se resta ou adiciona. Algo como isto:
chmod a-wrx *
Isto tira todos as permissões a todos os tipos de usuário.
chmod a+r,gu+w *
Este comando atribui permissões de leitura a todos os usuários e permissões de escritura ao dono do arquivo e o grupo do dono.
chmod u=w,a+r *
Este comando atribui permissões de escritura ao usuário dono e adiciona a todos os usuários permissão de leitura.
As 7 Camadas do Modelo OSI
Esse é modelo de 7 camadas ISO/OSI. Ainda não havia citado, mas ISO corresponde á International Organization for Standardization, ou Organização Internacional para Padronização, e OSI corresponde á Open System Interconection, ou Sistema de Interconexão aberto. Podemos fazer uma analogia com os Processos, ou POP (Procedimento Operacional Padrão) como conheço, que a ISO exige das empresas no processo de obtenção do ISO 9001 por exemplo. A idéia é a mesma, "padronizar" para organizar e agilizar os processos.
Como citei na figura, é interessante notar que a ordem numérica das camadas é decrescente, ou seja, o processo começa na camada física, onde os sinais elétricos são convertidos em zeros e uns, e termina na camada de aplicação, onde atuam protocolos como o FTP por exemplo (File Tranfer Protocol), protocolo para troca de arquivos.
Outra coisa interessante, é qual a PDU (Protocol Data Unit, ou Protocolo de Unidade de Dados) cada camada em específico trata. Vou descrever após a breve explicação da camada seqüente, qual a PDU correspondente. Após explicar a camada, vou citar sua PDU.
A maioria das literaturas cita o modelo a partir da camada de Aplicação, mas pessoalmente acho mais lógico iniciar pela camada Física, onde é iniciado o processo, imaginando que os dados estão chegando, e não indo.
Obs.: É de extrema importância ressaltar que a camada superior só entende os dados porque a camada inferior os formata para um formato comum, inteligível para as duas atuantes no processo, como mostrado a seguir.
Camada Física
Como citei o anteriormente, é onde se inicia o todo processo. O sinal que vem do meio (Cabos UTP por exemplo), chega à camada física em formato de sinais elétricos e se transforma em bits (0 e 1). Como no cabo navega apenas sinais elétricos de baixa freqüência, a camada física identifica como 0 sinal elétrico com –5 volts e 1 como sinal elétrico com +5 volts.
A camada física trata coisas tipo distância máxima dos cabos (por exemplo no caso do UTP onde são 90m), conectores físicos (tipo BNC do coaxial ou RJ45 do UTP), pulsos elétricos (no caso de cabo metálico) ou pulsos de luz (no caso da fibra ótica), etc. Resumindo, ela recebe os dados e começa o processo, ou insere os dados finalizando o processo, de acordo com a ordem. Podemos associa-la a cabos e conectores. Exemplo de alguns dispositivos que atuam na camada física são os Hubs, tranceivers, cabos, etc. Sua PDU são os BITS.
Camada de Enlace
Após a camada física ter formatado os dados de maneira que a camada de enlace os entenda, inicia-se a segunda parte do processo. Um aspecto interessante é que a camada de enlace já entende um endereço, o endereço físico (MAC Address – Media Access Control ou Controle de acesso a mídia) – a partir daqui sempre que eu me referir a endereço físico estou me referindo ao MAC "Address". Sem querer sair do escopo da camada, acho necessária uma breve idéia a respeito do MAC. MAC address é um endereço Hexadecimal de 48 bits, tipo FF-C6-00-A2-05-D8. Na próxima parte do processo, quando o dado é enviado à camada de rede esse endereço vira endereço IP.
Uma curiosidade, é que o MAC address possui a seguinte composição:
Camada de Rede
Pensando em WAN, é a camada que mais atua no processo. A camada 3 é responsável pelo tráfego no processo de internetworking. A partir de dispositivos como roteadores, ela decide qual o melhor caminho para os dados no processo, bem como estabelecimento das rotas. A camada 3 já entende o endereço físico, que o converte para endereço lógico (o endereço IP). Exemplo de protocolos de endereçamento lógico são o IP e o IPX. A partir daí, a PDU da camada de enlace, o quadro, se transforma em unidade de dado de camada 3. Exemplo de dispositivo atuante nessa camada é o Roteador, que sem dúvida é o principal agente no processo de internetworking, pois este determina as melhores rotas baseados no seus critérios, endereça os dados pelas redes, e gerencia suas tabelas de roteamento. A PDU da camada 3 é o PACOTE.
Camada de transporte
A camada de transporte é responsável pela qualidade na entrega/recebimento dos dados. Após os dados já endereçados virem da camada 3, é hora de começar o transporte dos mesmos. A camada 4 gerencia esse processo, para assegurar de maneira confiável o sucesso no transporte dos dados, por exemplo, um serviço bastante interessante que atua de forma interativa nessa camada é o Q.O.S ou Quality of Service (Qualidade de Serviço), que é um assunto bastante importante é fundamental no processo de internetworking, e mais adiante vou aborda-lo de maneira bem detalhada. Então, após os pacotes virem da camada de rede, já com seus "remetentes/destinatários", é hora de entrega-los, como se as cartas tivessem acabados de sair do correio (camada 3), e o carteiro fosse as transportar (camada 4). Junto dos protocolos de endereçamento (IP e IPX), agora entram os protocolos de transporte (por exemplo, o TCP e o SPX). A PDU da camada 4 é o SEGMENTO.
Camada de sessão
Após a recepção dos bits, a obtenção do endereço, e a definição de um caminho para o transporte, se inicia então a sessão responsável pelo processo da troca de dados/comunicação. A camada 5 é responsável por iniciar, gerenciar e terminar a conexão entre hosts. Para obter êxito no processo de comunicação, a camada de seção têm que se preocupar com a sincronização entre hosts, para que a sessão aberta entre eles se mantenha funcionando. Exemplo de dispositivos, ou mais especificamente, aplicativos que atuam na camada de sessão é o ICQ, ou o MIRC. A partir daí, a camada de sessão e as camadas superiores vão tratar como PDU os DADOS.
Camada de Apresentação
A camada 6 atua como intermediaria no processo frente às suas camadas adjacentes. Ela cuida da formatação dos dados, e da representação destes, e ela é a camada responsável por fazer com que duas redes diferentes (por exemplo, uma TCP/IP e outra IPX/SPX) se comuniquem, "traduzindo" os dados no processo de comunicação. Alguns dispositivos atuantes na camada de Apresentação são o Gateway, ou os Traceivers, sendo que o Gateway no caso faria a ponte entre as redes traduzindo diferentes protocolos, e o Tranceiver traduz sinais por exemplo de cabo UTP em sinais que um cabo Coaxial entenda.
Camada de Aplicação
A camada de aplicação e a que mais notamos no dia a dia, pois interagimos direto com ela através de softwares como cliente de correio, programas de mensagens instantâneas, etc. Do ponto de vista do conceito, na minha opinião a camada 7 e basicamente a interface direta para inserção/recepção de dados. Nela é que atuam o DNS, o Telnet, o FTP, etc. E ela pode tanto iniciar quanto finalizar o processo, pois como a camada física, se encontra em um dos extremos do modelo!
Como citei na figura, é interessante notar que a ordem numérica das camadas é decrescente, ou seja, o processo começa na camada física, onde os sinais elétricos são convertidos em zeros e uns, e termina na camada de aplicação, onde atuam protocolos como o FTP por exemplo (File Tranfer Protocol), protocolo para troca de arquivos.
Outra coisa interessante, é qual a PDU (Protocol Data Unit, ou Protocolo de Unidade de Dados) cada camada em específico trata. Vou descrever após a breve explicação da camada seqüente, qual a PDU correspondente. Após explicar a camada, vou citar sua PDU.
A maioria das literaturas cita o modelo a partir da camada de Aplicação, mas pessoalmente acho mais lógico iniciar pela camada Física, onde é iniciado o processo, imaginando que os dados estão chegando, e não indo.
Obs.: É de extrema importância ressaltar que a camada superior só entende os dados porque a camada inferior os formata para um formato comum, inteligível para as duas atuantes no processo, como mostrado a seguir.
Camada Física
Como citei o anteriormente, é onde se inicia o todo processo. O sinal que vem do meio (Cabos UTP por exemplo), chega à camada física em formato de sinais elétricos e se transforma em bits (0 e 1). Como no cabo navega apenas sinais elétricos de baixa freqüência, a camada física identifica como 0 sinal elétrico com –5 volts e 1 como sinal elétrico com +5 volts.
A camada física trata coisas tipo distância máxima dos cabos (por exemplo no caso do UTP onde são 90m), conectores físicos (tipo BNC do coaxial ou RJ45 do UTP), pulsos elétricos (no caso de cabo metálico) ou pulsos de luz (no caso da fibra ótica), etc. Resumindo, ela recebe os dados e começa o processo, ou insere os dados finalizando o processo, de acordo com a ordem. Podemos associa-la a cabos e conectores. Exemplo de alguns dispositivos que atuam na camada física são os Hubs, tranceivers, cabos, etc. Sua PDU são os BITS.
Camada de Enlace
Após a camada física ter formatado os dados de maneira que a camada de enlace os entenda, inicia-se a segunda parte do processo. Um aspecto interessante é que a camada de enlace já entende um endereço, o endereço físico (MAC Address – Media Access Control ou Controle de acesso a mídia) – a partir daqui sempre que eu me referir a endereço físico estou me referindo ao MAC "Address". Sem querer sair do escopo da camada, acho necessária uma breve idéia a respeito do MAC. MAC address é um endereço Hexadecimal de 48 bits, tipo FF-C6-00-A2-05-D8. Na próxima parte do processo, quando o dado é enviado à camada de rede esse endereço vira endereço IP.
Uma curiosidade, é que o MAC address possui a seguinte composição:
A camada e enlace trata as topologias de rede, dispositivos como Switche, placa de rede, interfaces, etc., e é responsável por todo o processo de switching. Após o recebimento dos bits, ela os converte de maneira inteligível, os transforma em unidade de dado, subtrai o endereço físico e encaminha para a camada de rede que continua o processo. Sua PDU é o QUADRO.
Camada de Rede
Pensando em WAN, é a camada que mais atua no processo. A camada 3 é responsável pelo tráfego no processo de internetworking. A partir de dispositivos como roteadores, ela decide qual o melhor caminho para os dados no processo, bem como estabelecimento das rotas. A camada 3 já entende o endereço físico, que o converte para endereço lógico (o endereço IP). Exemplo de protocolos de endereçamento lógico são o IP e o IPX. A partir daí, a PDU da camada de enlace, o quadro, se transforma em unidade de dado de camada 3. Exemplo de dispositivo atuante nessa camada é o Roteador, que sem dúvida é o principal agente no processo de internetworking, pois este determina as melhores rotas baseados no seus critérios, endereça os dados pelas redes, e gerencia suas tabelas de roteamento. A PDU da camada 3 é o PACOTE.
Camada de transporte
A camada de transporte é responsável pela qualidade na entrega/recebimento dos dados. Após os dados já endereçados virem da camada 3, é hora de começar o transporte dos mesmos. A camada 4 gerencia esse processo, para assegurar de maneira confiável o sucesso no transporte dos dados, por exemplo, um serviço bastante interessante que atua de forma interativa nessa camada é o Q.O.S ou Quality of Service (Qualidade de Serviço), que é um assunto bastante importante é fundamental no processo de internetworking, e mais adiante vou aborda-lo de maneira bem detalhada. Então, após os pacotes virem da camada de rede, já com seus "remetentes/destinatários", é hora de entrega-los, como se as cartas tivessem acabados de sair do correio (camada 3), e o carteiro fosse as transportar (camada 4). Junto dos protocolos de endereçamento (IP e IPX), agora entram os protocolos de transporte (por exemplo, o TCP e o SPX). A PDU da camada 4 é o SEGMENTO.
Camada de sessão
Após a recepção dos bits, a obtenção do endereço, e a definição de um caminho para o transporte, se inicia então a sessão responsável pelo processo da troca de dados/comunicação. A camada 5 é responsável por iniciar, gerenciar e terminar a conexão entre hosts. Para obter êxito no processo de comunicação, a camada de seção têm que se preocupar com a sincronização entre hosts, para que a sessão aberta entre eles se mantenha funcionando. Exemplo de dispositivos, ou mais especificamente, aplicativos que atuam na camada de sessão é o ICQ, ou o MIRC. A partir daí, a camada de sessão e as camadas superiores vão tratar como PDU os DADOS.
Camada de Apresentação
A camada 6 atua como intermediaria no processo frente às suas camadas adjacentes. Ela cuida da formatação dos dados, e da representação destes, e ela é a camada responsável por fazer com que duas redes diferentes (por exemplo, uma TCP/IP e outra IPX/SPX) se comuniquem, "traduzindo" os dados no processo de comunicação. Alguns dispositivos atuantes na camada de Apresentação são o Gateway, ou os Traceivers, sendo que o Gateway no caso faria a ponte entre as redes traduzindo diferentes protocolos, e o Tranceiver traduz sinais por exemplo de cabo UTP em sinais que um cabo Coaxial entenda.
Camada de Aplicação
A camada de aplicação e a que mais notamos no dia a dia, pois interagimos direto com ela através de softwares como cliente de correio, programas de mensagens instantâneas, etc. Do ponto de vista do conceito, na minha opinião a camada 7 e basicamente a interface direta para inserção/recepção de dados. Nela é que atuam o DNS, o Telnet, o FTP, etc. E ela pode tanto iniciar quanto finalizar o processo, pois como a camada física, se encontra em um dos extremos do modelo!
Instalando e Configurando o Arpwatch no Fedora
Introdução
Arpwatch é uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP. Essa ferramenta tem a capacidade de reportar via email certas mudanças.
O Arpwatch é uma ferramenta importante na monitoração da rede contra ataques de Arp Poisoning ou Arp Spoofing usados para realizar ataques mais sofisticados como Man-in-the-Middle(MITM).
Instalação
Tomando-se como base a distribuição Fedora, para a instalação do arpwatch basta executar o comando abaixo:
[root@testes rodrigo]# yum install arpwatch
OBS: Será necessário a instalação da libpcap. Aconselho fazer as atualizações necessárias em Sistema > Administação > Adicionar/remover programas e localizar o pacote e o libpcap já estará instalado.
Configuração
O arquivo de configuração está localizado em /etc/sysconfig/arpwatch. Sua base de dados é armazenada em /var/arpwatch. Neste diretório estão os arquivos arp.dat, que é a base de dados propriamente dita e o ethercodes.dat, que possui o bloco de endereços MAC atribuídos aos fabricantes.
DICA: Você deve criar dentro de /var/arpwatch os arquivos: arp.dat e ethercodes.dat nesta criação pode ser usado o “touch” para criar um arquivo em branco ou dar privilégios a pasta arpwatch de criação do arquivo e criá-los via cursor do mouse ou teclado.
Abaixo vemos a configuração padrão do arpwatch:
# -u : defines with what user id arpwatch should run
# 1. -e : the where to send the reports
# 2. -s : the -address
OPTIONS="-u pcap -e root -s 'root (Arpwatch)'"
Vamos configurá-lo para que envie as mensagens para o nosso e-mail, altere a linha de forma que semelhante como a linha abaixo:
OPTIONS="-u pcap ou nome_do_usuário_com_privilégios_de_acesso_ao_arpwatch -e usuario@dominio.com.br -s 'root (Arpwatch Servidor De Teste Rede 192.168.0.0/24)'"
OBS: Para que esta configurar a edição acima recomendo do editor “vi”:
Algumas opções possíveis são:
-d: Utilizada para debugging. Essa opção inibe o envio de relatórios via email. Eles são enviados para a saída de erro padrão (stderr);
-f: Informa qual o arquivo da base de dados deve ser usado. O valor padrão é arp.dat;
-i: Usada para sobrescrever a interface padrão;
-n: Especifica redes locais adicionais. É útil se na mesma rede física, estiver rodando mais de um endereçamento de rede;
-u: define qual usuário executará o arpwatch. Rodá-lo com um usuário diferente de root é extremamente recomendado para melhorar a segurança;
-e: Envia mensagens de e-mail para o endereço especificado. O padrão é para o usuário root. Se apenas o caractere '-' for definido, o envio de alertas via e-mail será suspenso, no entanto, o logging via syslog continuará ativo (Útil quando for executado pela primeira vez na rede, evita o recebimento de muitas mensagens);
-s: Envia mensagens de email com endereço de retorno, ao contrário do valor padrão do root.
OBS: Antes de ser rodado pela primeira vez é necessário que o arquivo da base de dados exista (em branco) e que o usuário especificado em -u seja o dono do diretório /var/arpwatch.
Vamos colocá-lo para iniciar no boot:
[root@teste sysconfig]# /sbin/chkconfig --level 2345 arpwatch on
OBS: lembre-se de acessar a pasta /etc/sysconfig com privilégios root e depois dar o comando acima.
Iniciando o arpwatch:
[root@teste sysconfig]# /etc/init.d/arpwatch start
OBS: lembre-se de acessar a pasta /etc/sysconfig com privilégios root e depois dar o comando acima.
Através do comandos abaixo, confirma-se que o arpwatch já está sendo executado:
[root@teste log]# tail -f messages
OBS: lembre-se de acessar a pasta /var/log com privilégios root e depois dar o comando acima, pois dentro do diretório log esta a arquivo “messages”.
Jan 4 10:41:04 vpn01 arpwatch: new station 192.168.0.222 0:10:c6:b9:69:2b
Jan 4 10:41:14 vpn01 arpwatch: new station 192.168.0.176 0:d:f4:3:2:d8
Jan 4 10:41:20 vpn01 arpwatch: new station 192.168.0.224 0:11:25:8a:87:9b
Exemplo de alerta
Ex1:
Subject: new station
hostname:
ip address: 192.168.0.185
ethernet address: 0:d:f4:3:3:1e
ethernet vendor: Watertek Co.
timestamp: Friday, January 4, 2008 10:40:44 -0300
Ex2:
Subject: new station
hostname:
ip address: 192.168.0.245
ethernet address: 0:30:a:5b:73:24
ethernet vendor: AZTECH SYSTEMS LTD.
timestamp: Friday, January 4, 2008 10:40:56 -0300
Entendendo as mensagens
new activity
Esse par de endereço MAC e endereço IP já foi utilizado a seis meses ou mais.
new station
Esse endereço ethernet (MAC) nunca foi visto antes.
flip flop
O endereço ethernet foi foi alterado do primeiro mais recente para o segundo mas recente.
changed ethernet address
O Host mudou para um novo endereço ethernet (MAC)
Testando
A forma de testarmos é rodarmos um ataque de arp spoofing em nossa própria rede. Para o teste, foi utilizado o aplicativo ettercap.
Os seguintes hosts foram utilizados:
Endereço IP Endereço MAC Descrição
192.168.0.224 00:11:25:8A:87:9B Host do Atacante
192.168.0.3 00:10:C6:B9:68:F5 Gateway da rede, host a ser realizado o spoof
Após o inicio do ataque, foram recebidos os seguintes alertas:
MSG1: Arpwatch detecta a mudança do PAR MAC/IP
Subject: changed ethernet address
hostname:
ip address: 192.168.0.3
ethernet address: 0:11:25:8a:87:9b
ethernet vendor: IBM Corporation
old ethernet address: 0:10:c6:b9:68:f5
old ethernet vendor: USI
timestamp: Friday, January 4, 2008 11:16:06 -0300
previous timestamp: Friday, January 4, 2008 11:16:06 -0300
delta: 0 seconds
MSG2:Arpwatch detecta que o par está oscilando, característica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vários outros como MAC errado.
Subject: flip flop
hostname:
ip address: 192.168.0.3
ethernet address: 0:10:c6:b9:68:f5
ethernet vendor: USI
old ethernet address: 0:11:25:8a:87:9b
old ethernet vendor: IBM Corporation
timestamp: Friday, January 4, 2008 11:16:22 -0300
previous timestamp: Friday, January 4, 2008 11:16:21 -0300
delta: 1 second
MSG3: Arpwatch detecta que o par está oscilando, característica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vários outros como MAC errado.
Subject:flip flop
name:
ip address: 192.168.0.3
ethernet address: 0:11:25:8a:87:9b
ethernet vendor: IBM Corporation
old ethernet address: 0:10:c6:b9:68:f5
old ethernet vendor: USI
timestamp: Friday, January 4, 2008 11:16:31 -0300
previous timestamp: Friday, January 4, 2008 11:16:22 -0300
delta: 9 seconds
Este material foi adaptado de acordo com as dificuldades a qual tive na realização de uns teste, na curiosidade de descobrir o real funcionamento desta ferramento citada em uma aula da minha pós em redes, espero ter ajuda alguém, vale salientar que um pouco de conhecimento em Linux ajuda muito.
Arpwatch é uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endereços ethernet (MAC) e seus respectivos endereços IP. Essa ferramenta tem a capacidade de reportar via email certas mudanças.
O Arpwatch é uma ferramenta importante na monitoração da rede contra ataques de Arp Poisoning ou Arp Spoofing usados para realizar ataques mais sofisticados como Man-in-the-Middle(MITM).
Instalação
Tomando-se como base a distribuição Fedora, para a instalação do arpwatch basta executar o comando abaixo:
[root@testes rodrigo]# yum install arpwatch
OBS: Será necessário a instalação da libpcap. Aconselho fazer as atualizações necessárias em Sistema > Administação > Adicionar/remover programas e localizar o pacote e o libpcap já estará instalado.
Configuração
O arquivo de configuração está localizado em /etc/sysconfig/arpwatch. Sua base de dados é armazenada em /var/arpwatch. Neste diretório estão os arquivos arp.dat, que é a base de dados propriamente dita e o ethercodes.dat, que possui o bloco de endereços MAC atribuídos aos fabricantes.
DICA: Você deve criar dentro de /var/arpwatch os arquivos: arp.dat e ethercodes.dat nesta criação pode ser usado o “touch” para criar um arquivo em branco ou dar privilégios a pasta arpwatch de criação do arquivo e criá-los via cursor do mouse ou teclado.
Abaixo vemos a configuração padrão do arpwatch:
# -u : defines with what user id arpwatch should run
# 1. -e : the where to send the reports
# 2. -s : the -address
OPTIONS="-u pcap -e root -s 'root (Arpwatch)'"
Vamos configurá-lo para que envie as mensagens para o nosso e-mail, altere a linha de forma que semelhante como a linha abaixo:
OPTIONS="-u pcap ou nome_do_usuário_com_privilégios_de_acesso_ao_arpwatch -e usuario@dominio.com.br -s 'root (Arpwatch Servidor De Teste Rede 192.168.0.0/24)'"
OBS: Para que esta configurar a edição acima recomendo do editor “vi”:
Algumas opções possíveis são:
-d: Utilizada para debugging. Essa opção inibe o envio de relatórios via email. Eles são enviados para a saída de erro padrão (stderr);
-f: Informa qual o arquivo da base de dados deve ser usado. O valor padrão é arp.dat;
-i: Usada para sobrescrever a interface padrão;
-n: Especifica redes locais adicionais. É útil se na mesma rede física, estiver rodando mais de um endereçamento de rede;
-u: define qual usuário executará o arpwatch. Rodá-lo com um usuário diferente de root é extremamente recomendado para melhorar a segurança;
-e: Envia mensagens de e-mail para o endereço especificado. O padrão é para o usuário root. Se apenas o caractere '-' for definido, o envio de alertas via e-mail será suspenso, no entanto, o logging via syslog continuará ativo (Útil quando for executado pela primeira vez na rede, evita o recebimento de muitas mensagens);
-s: Envia mensagens de email com endereço de retorno, ao contrário do valor padrão do root.
OBS: Antes de ser rodado pela primeira vez é necessário que o arquivo da base de dados exista (em branco) e que o usuário especificado em -u seja o dono do diretório /var/arpwatch.
Vamos colocá-lo para iniciar no boot:
[root@teste sysconfig]# /sbin/chkconfig --level 2345 arpwatch on
OBS: lembre-se de acessar a pasta /etc/sysconfig com privilégios root e depois dar o comando acima.
Iniciando o arpwatch:
[root@teste sysconfig]# /etc/init.d/arpwatch start
OBS: lembre-se de acessar a pasta /etc/sysconfig com privilégios root e depois dar o comando acima.
Através do comandos abaixo, confirma-se que o arpwatch já está sendo executado:
[root@teste log]# tail -f messages
OBS: lembre-se de acessar a pasta /var/log com privilégios root e depois dar o comando acima, pois dentro do diretório log esta a arquivo “messages”.
Jan 4 10:41:04 vpn01 arpwatch: new station 192.168.0.222 0:10:c6:b9:69:2b
Jan 4 10:41:14 vpn01 arpwatch: new station 192.168.0.176 0:d:f4:3:2:d8
Jan 4 10:41:20 vpn01 arpwatch: new station 192.168.0.224 0:11:25:8a:87:9b
Exemplo de alerta
Ex1:
Subject: new station
hostname:
ip address: 192.168.0.185
ethernet address: 0:d:f4:3:3:1e
ethernet vendor: Watertek Co.
timestamp: Friday, January 4, 2008 10:40:44 -0300
Ex2:
Subject: new station
hostname:
ip address: 192.168.0.245
ethernet address: 0:30:a:5b:73:24
ethernet vendor: AZTECH SYSTEMS LTD.
timestamp: Friday, January 4, 2008 10:40:56 -0300
Entendendo as mensagens
new activity
Esse par de endereço MAC e endereço IP já foi utilizado a seis meses ou mais.
new station
Esse endereço ethernet (MAC) nunca foi visto antes.
flip flop
O endereço ethernet foi foi alterado do primeiro mais recente para o segundo mas recente.
changed ethernet address
O Host mudou para um novo endereço ethernet (MAC)
Testando
A forma de testarmos é rodarmos um ataque de arp spoofing em nossa própria rede. Para o teste, foi utilizado o aplicativo ettercap.
Os seguintes hosts foram utilizados:
Endereço IP Endereço MAC Descrição
192.168.0.224 00:11:25:8A:87:9B Host do Atacante
192.168.0.3 00:10:C6:B9:68:F5 Gateway da rede, host a ser realizado o spoof
Após o inicio do ataque, foram recebidos os seguintes alertas:
MSG1: Arpwatch detecta a mudança do PAR MAC/IP
Subject: changed ethernet address
hostname:
ip address: 192.168.0.3
ethernet address: 0:11:25:8a:87:9b
ethernet vendor: IBM Corporation
old ethernet address: 0:10:c6:b9:68:f5
old ethernet vendor: USI
timestamp: Friday, January 4, 2008 11:16:06 -0300
previous timestamp: Friday, January 4, 2008 11:16:06 -0300
delta: 0 seconds
MSG2:Arpwatch detecta que o par está oscilando, característica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vários outros como MAC errado.
Subject: flip flop
hostname:
ip address: 192.168.0.3
ethernet address: 0:10:c6:b9:68:f5
ethernet vendor: USI
old ethernet address: 0:11:25:8a:87:9b
old ethernet vendor: IBM Corporation
timestamp: Friday, January 4, 2008 11:16:22 -0300
previous timestamp: Friday, January 4, 2008 11:16:21 -0300
delta: 1 second
MSG3: Arpwatch detecta que o par está oscilando, característica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, vários outros como MAC errado.
Subject:flip flop
name:
ip address: 192.168.0.3
ethernet address: 0:11:25:8a:87:9b
ethernet vendor: IBM Corporation
old ethernet address: 0:10:c6:b9:68:f5
old ethernet vendor: USI
timestamp: Friday, January 4, 2008 11:16:31 -0300
previous timestamp: Friday, January 4, 2008 11:16:22 -0300
delta: 9 seconds
Este material foi adaptado de acordo com as dificuldades a qual tive na realização de uns teste, na curiosidade de descobrir o real funcionamento desta ferramento citada em uma aula da minha pós em redes, espero ter ajuda alguém, vale salientar que um pouco de conhecimento em Linux ajuda muito.
Como funciona o sistema GPS ?
O Sistema de Posicionamento Global (GPS) é um sistema de navegação baseado em satélite, composto de uma rede de 24 satélites colocada em órbita pelo Departamento Norte-Americano de Defesa.
O GPS foi originalmente planejado para aplicações militares, mas nos anos oitenta, o governo fez o sistema disponível para uso civil. GPS trabalha em qualquer condição de tempo, em qualquer lugar no mundo, 24 horas por dia, e não é cobrada nenhuma taxa para sua utilização.
Essencialmente, o receptor de GPS compara o tempo em que um sinal foi transmitido por um satélite, com o tempo que foi recebido. A diferença de tempo é transmitida para o receptor de GPS, o quão longe o satélite está.
Agora, com medidas de distância de mais alguns satélites, o receptor pode determinar a posição do usuário e pode exibir isto no mapa eletrônico da unidade.
Questões:a) Qual o referencial utilizado?
São utilizados referenciais situados fora do planeta
b) Quais as coordenadas?
Latitude e longitude
c) Onde fica a origem das coordenadas?
A 0º de latitude (equador) e 0º longitude (Greenwich)
d) Qual o numero mínimo de satélites que devem estar "visíveis" no horizonte local? Por quê?
Três satélites, para que seja feita uma triangulação (três retas definem um ponto) com o tempo de resposta dos sinais, possibilitando calcular uma posição 2D (latitude e longitude) e movimento de rastro.
Conhecendo a tecnologia USB 3.0
Após 15 anos do lançamento da USB 1.0, a tecnologia avançou bastante e a necessidade por conexões mais rápidas foi surgindo, dando assim inicio ao tão conhecido e usado USB 2.0. Mas os tempos mudaram, e na época dos vídeos de alta definição, arquivos exageradamente grandes e o crescimento da capacidade de armazenamento dos dispositivos portáteis fez com que aumentasse vertiginosamente a “sede” por velocidade, surgindo assim a mais nova versão da USB, a SuperSpeed ou se preferir, apenas USB 3.0. Entenda o que muda em relação à segunda versão!
Até pouco tempo atrás a 2ª versão das portas USB já eram o bastante para transferência de dados entre o pc e dispositivos portáteis. Porém hoje os míseros (e teóricos) 480Mbps já não dão mais conta de transferir arquivos grandes, fazendo com que o usuário perca um tempo relativamente alto apenas esperando a transferência de seus arquivos. Porém com a 3ª versão das portas USB a transferência ocorrerá de forma rápida e eficaz, abrindo um leque de possibilidades para os usuários, graças aos incríveis (e também teóricos) 4.8Gbps, cerca de 10 vezes mais rápido que a versão atual.
Como é possível uma coisas dessas?
As conexões USB de hoje possuem somente quatro fios, porém somente dois deles trocam dados entre o pc, ou seja, o baixo número de cabos faz com que os dados sejam enviados em somente uma direção, ou seja, ou os dados saem do computador, ou eles entram no computador, nunca os dois ao mesmo tempo.
A nova versão possui 8 fios, dos quais 6 fazem a troca de dados. Além de ter o triplo de fios encarregados de fazer a troca de dados, eles podem fazer tanto a ida quanto a volta ao mesmo tempo, ou seja, os dados podem entrar e sair ao mesmo tempo, aumentando consideravelmente a velocidade numa transferência de grande porte. Outra melhoria que irá ser útil tanto para as transferências quanto para carregar dispositivos portáteis, é o aumento da corrente elétrica. Segundo o site Gizmodo, será possível transferir 25 GB em apenas 70 segundos!
Já tem algum dispositivo no mercado?
Atualmente existe uma placa mãe da ASUS que tem suporte nativo ao USB 3.0. Em contrapartida, não há dispositivos portáteis que usem a tecnologia, ou seja, de nada adianta ter uma placa dessas se não vou poder usar a conexão, pelo menos por enquanto. Mas teremos os primeiros dispositivos em breve, pois começou há pouco tempo a produção dos novos USB 3.0.
Quais Sistemas Operacionais irão ter suporte à 3ª versão?
Suporte garantido terão o Windows 7, Linux e Mac OS X e não se sabe o que vai ser dos outros sistemas quanto ao suporte. Há quem diga que o XPzão não terá suporte, como também há quem diga que ele terá. Essa resposta só o tempo irá responder… Provavelmente o Windows Vista terá suporte, porém não há nada garantido
Até pouco tempo atrás a 2ª versão das portas USB já eram o bastante para transferência de dados entre o pc e dispositivos portáteis. Porém hoje os míseros (e teóricos) 480Mbps já não dão mais conta de transferir arquivos grandes, fazendo com que o usuário perca um tempo relativamente alto apenas esperando a transferência de seus arquivos. Porém com a 3ª versão das portas USB a transferência ocorrerá de forma rápida e eficaz, abrindo um leque de possibilidades para os usuários, graças aos incríveis (e também teóricos) 4.8Gbps, cerca de 10 vezes mais rápido que a versão atual.
Como é possível uma coisas dessas?
As conexões USB de hoje possuem somente quatro fios, porém somente dois deles trocam dados entre o pc, ou seja, o baixo número de cabos faz com que os dados sejam enviados em somente uma direção, ou seja, ou os dados saem do computador, ou eles entram no computador, nunca os dois ao mesmo tempo.
A nova versão possui 8 fios, dos quais 6 fazem a troca de dados. Além de ter o triplo de fios encarregados de fazer a troca de dados, eles podem fazer tanto a ida quanto a volta ao mesmo tempo, ou seja, os dados podem entrar e sair ao mesmo tempo, aumentando consideravelmente a velocidade numa transferência de grande porte. Outra melhoria que irá ser útil tanto para as transferências quanto para carregar dispositivos portáteis, é o aumento da corrente elétrica. Segundo o site Gizmodo, será possível transferir 25 GB em apenas 70 segundos!
Já tem algum dispositivo no mercado?
Atualmente existe uma placa mãe da ASUS que tem suporte nativo ao USB 3.0. Em contrapartida, não há dispositivos portáteis que usem a tecnologia, ou seja, de nada adianta ter uma placa dessas se não vou poder usar a conexão, pelo menos por enquanto. Mas teremos os primeiros dispositivos em breve, pois começou há pouco tempo a produção dos novos USB 3.0.
Quais Sistemas Operacionais irão ter suporte à 3ª versão?
Suporte garantido terão o Windows 7, Linux e Mac OS X e não se sabe o que vai ser dos outros sistemas quanto ao suporte. Há quem diga que o XPzão não terá suporte, como também há quem diga que ele terá. Essa resposta só o tempo irá responder… Provavelmente o Windows Vista terá suporte, porém não há nada garantido
Assinar:
Postagens (Atom)