Paginas

sexta-feira, 1 de maio de 2015

Como desabilitar o SSLv3 no Apache e remover a vulnerabilidade POODLE (CVE-2014-3566)

Olá,

Segue uma dica de como desabilitar o SSLv3 no Apache para remover a vulnerabilidade POODLE(CVE-2014-3566).
Procure no arquivo de configuração do Apache, a palavra-chave SSLProtocol:

grep -i -r "SSLProtocol" /etc/apache2

ou

grep -i -r "SSLProtocol" /etc/httpd

Edite o arquivo que contém a palavra-chave e altere esta linha para:

SSLProtocol all -SSLv2 -SSLv3

Reinicie o apache:

apachectl restart

Configuração do Dovecot no Linux CentOS

O Dovecot é um software opensource POP3 e IMAP que foi desenvolvido especialmente para os sistemas operacionais Linux/UNIX.
Ele recebe os emails do Postfix para a entrega na caixa postal do usuário, que usa os protocolos POP3 e IMAP ou suas versões seguras POP3S e IMAPS para transferir e visualizar as mensagens.


  • Instalação:

sudo yum install dovecot


  •  Configuração:

 Edite o arquivo /etc/dovecot/dovecot.conf:

sudo nano /etc/dovecot/dovecot.conf 

E descomente as seguintes linhas:

protocols = imap pop3 
mail_location = maildir:~/Maildir 

Edite o arquivo /etc/dovecot/conf.d/10-auth.conf:

sudo nano /etc/dovecot/conf.d/10-auth.conf 

E descomente a linha abaixo:

auth_mechanisms = plain login

Edite o arquivo /etc/dovecot/conf.d/10-mail.conf : 

sudo nano /etc/dovecot/conf.d/10-mail.conf 

 Adicione ou descomente a linha abaixo:

 mail_location = maildir:~/Maildir 

 Edite o arquivo de configuração de autenticação:

sudo nano /etc/dovecot/conf.d/10-master.conf 

 Comente as linhas:

#unix_listener auth-userdb { 
# mode = 0600 
# user = 
# group = 
#} 

E descomente as linhas:

unix_listener /var/spool/postfix/private/auth { 
mode = 0666 
user = postfix 
group = postfix 


Edite o arquivo /etc/dovecot/conf.d/20-pop3.conf:

sudo nano /etc/dovecot/conf.d/20-pop3.conf

E descomente ou adicione as seguintes linhas:

 pop3_uidl_format = %08Xu%08Xv 
pop3_client_workarounds = outlook-no-nuls oe-ns-eoh 

Exemplo de criação de uma caixa postal:

 sudo useradd ricardo 
 sudo mkdir /home/ricardo/Maildir 
 sudo chown ricardo:ricardo /home/ricardo/Maildir 
 sudo -R 700 /home/ricardo/Maildir 

Defina a inicialização automática do Dovecot:

 sudo chkconfig --level 345 dovecot on 

 sudo service dovecot start 


  •  Configuração do postfix 


Edite o arquivo /etc/postfix/main.cf:

sudo nano /etc/postfix/main.cf

 E adicione as seguintes linhas:

smtpd_sasl_auth_enable = yes 
smtpd_sasl_security_options = noanonymous 
smtpd_sasl_local_domain = $myhostname 
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks, reject_unauth_destination 
broken_sasl_auth_clients = yes 
smtpd_sasl_type = dovecot 
smtpd_sasl_path = private/auth 

Reinicie o serviço do postfix:

sudo service postfix restart 

Fonte: http://www.rackspace.com/knowledge_center/article/dovecot-installation-and-configuration-on-centos

sexta-feira, 2 de maio de 2014

Como detectar a vulnerabilidade Heartbleed em seu site com o comando Nmap

Olá,

Ultimamente tem se falado muito sobre o bug Heartbleed da biblioteca Openssl. O bug Heartbleed é uma séria vulnerabilidade na biblioteca Opensssl que permite o roubo de informações, que em condições normais, deveriam ser protegidas pela criptografia SSL/TLS. O bug Heartbleed permite a leitura da memória de sistemas que utilizam  versões vulneráveis do software OpenSSL. Para maiores informações, consulte o site Heartbleed Bug.
Há um script do software Nmap para verificar se um destino está executando uma versão vulnerável da biblioteca Openssl. Lembrando que o conteúdo é apenas informativo e deve ser utilizado com responsabilidade. Não deve ser executado para verificação de sites de outras pessoas.
Seguem os passos para instalar o script e executar o teste. Lembrando que isto deve

- Faça o download do script SSL-Heartbleed


- Encontre o local em que são armazenados os scripts NSE. Os locais mais comuns são /usr/share/nmap/scripts e /usr/local/share/nmap/scripts. Caso não esteja nestes diretórios execute um dos comandos abaixo para procurá-lo:

find / -name '*.nse'

locate *.nse

- Copie o script para o diretório encontrado anteriormente


- Atualize o banco de dados de scripts:


nmap --script-updatedb

- Exemplo de uso:

nmap -sV -p 443 --script=ssl-heartbleed <destino>

terça-feira, 22 de abril de 2014

Utilizando o access-point Cisco Airespace 1250 sem controladora

No mês passado, comprei um novo access-point(AP) para utilizá-lo como repetidor. No Mercado Livre, encontrei um AP da marca Airespace, modelo 1250 ABG por R$ 60,00.  Achei interessante após descobrir que a empresa Airespace foi adquirida pela Cisco em 2005 e que seus APs se tornaram o Aironet. Os APs Aironet da série 1000 são idênticos aos da Airespace, pelo menos na parte física.
Mas tive uma grande surpresa quando recebi o AP: descobri que ele funciona apenas com uma controladora wireless.
Fiz o download de uma versão trial de uma controladora virtual da Cisco mas não tive sucesso em configurá-lo. A versão do software é muito antiga; não é suportada pela controladora virtual. Não era possível acessar o AP
Quando estava quase desistindo, resolvi abrí-lo. Nele, há um jumper que permite configurar o modo SiteSurvey. Neste modo, finalmente apareceu uma rede nova chamada SiteSurveyMode. Então, consegui conectar ao AP via telnet. Abaixo, seguem as instruções para configurar o AP neste modo, sem a necessidade da controladora Wireless:

- Conectar o computador ao AP, através de um cabo crossover;
- Configurar o endereço IP do computador como 192.168.1.2/24;
- Conectar ao AP através do Telnet. O endereço IP do AP é 192.168.1.1;
- O login e senha do AP estão em branco;

- Para configurar o modo 802.11a(5GHz), digite os seguintes comandos:

config wlan 0
set authentication  WPA-PSK
set channel <numero-do-canal>
set cipher auto
set encryption enable
set passphrase <chave-wpa>
set ssid <nome-ssid>
set wirelessmode 11a

- Para configurar o modo 802.11g(2.4GHz), digite os seguintes comandos:

config wlan 1
set authentication  WPA-PSK
set channel <numero-do-canal>
set cipher auto
set encryption enable
set passphrase <chave-wpa>
set ssid <nome-ssid>
set wirelessmode 11g

Bem-vindos

Olá,

Bem-vindos ao nosso novo blog!!!
Sempre que possível, colocaremos uma nova dica relacionada à área de tecnologia da informação.