Gilberto Silva

1. No grub, selecione o sistema e digite <e>, para editar as opções de boot e digite single ao final da linha. Após feito isso, <enter> e em seguida <b> para dar boot no sistema em modo de manutenção;
2. digite pwunconv;
3. Edite o arquivo /etc/passwd e retire a senha do root (a senha está entre o primeiro e o segundo :, como abaixo )

     root:$sdfsdkfgi234yrg82g8d2te63et163e763et:0:0

   ficando assim o arquivo

     root::0:0:

4. digite init 3 efetue login com root, sem senha.
5. digite pwconv
6. passwd e redefina a senha de root

Basicamente, existem dois tipos de chaves que são usadas nesse processo de criptografia: simétricas e assimétricas.Chave simétrica
É o tipo de chave mais simples e a mesma chave é utilizada tanto pelo emissor quanto por quem recebe a informação. Ou seja, a mesma chave é utilizada para codificação e para a decodificação dos dados.

Vários algoritmos de criptografia foram desenvolvidos a partir de chaves simétricas. Dentre os mais comuns estão o DES, o IDEA e o RC.

• DES (Data Encryption Standard): criado pela IBM em 1977, o DES usa chaves de 56 bits, permitindo até 72 quatrilhões de combinações. Apesar disso, foi ‘quebrado’ ou desvendado utilizando-se as chamadas técnicas de “força bruta” (tentativa e erro) em um desafio promovido na internet.
• IDEA (International Data Encryption Algorithm): criado em 1991 por James Massey e Xuejia Lai, o IDEA é um algoritmo que usa chaves de 128 bits e tem estrutura semelhante ao DES.
• RC (Ron’s Code ou Rivest Cipher): criado por Ron Rivest na empresa RSA Data Security, esse algoritmo é muito utilizado em e-mails e usa chaves de 8 a 1;024 bits. Há várias versões: RC2, RC4, RC5 e RC6. Cada uma delas difere da outra por trabalhar com chaves de maior complexidade.

Existem ainda outros algoritmos, como o AES (Advanced Encryption Standard), baseado no DES; 3DES; o Twofish; e a sua variante, o Blowfish. O uso de chaves simétricas tem desvantagens, e não é indicado para casos que envolvem informações muito valiosas.

Chave assimétrica
Também conhecida como “chave pública”, a chave assimétrica trabalha com duas chaves: uma privada e outra pública.

Nesse método, uma pessoa deve criar uma chave de codificação e enviá-la a quem for lhe mandar informações. Essa é a chave pública. Uma outra chave deve ser criada para a decodificação. Esta, a chave privada, é secreta.

Conheça alguns algoritmos que usam chaves assimétricas:

• RSA (Rivest, Shamir and Adleman): criado em 1977 nos laboratórios do Massachusetts Institute of Technology (MIT), é um dos algoritmos de chave assimétrica mais usados. Nele, números primos são utilizados da seguinte forma: dois números primos são multiplicados para se obter um terceiro valor. A chave privada são os números multiplicados e a chave pública é o valor obtido.
• ElGamal: criado por Taher ElGamal, esse algoritmo usa um problema matemático conhecido por “logaritmo discreto” para se tornar seguro. É freqüente em assinaturas digitais.

Criptografia nas redes sem fio
As redes wireless abriram uma brecha enorme na segurança dos dados. Isso porque os dados podem ser facilmente interceptados com algum conhecimento técnico.

Isso obrigou o desenvolvimento de técnicas de criptografia para tornar esse tipo de comunicação viável, não só para empresas que decidem conectar seus usuários por meio de redes sem fio, mas também para que os usuários domésticos possam realizar suas transações financeiras com mais segurança e privacidade.

Os tipos de criptografia mais usados nas redes wireless são:

• WEP: esta técnica usa uma chave secreta compartilhada e o algoritmo de criptografia RC4. O roteador wireless ou ponto de acesso, bem como todas as estações que se conectam a ele devem usar a mesma chave compartilhada. Para cada pacote de dados enviado em qualquer direção, o transmissor combina o conteúdo do pacote com uma soma de verificação desse pacote. O padrão WEP pede então que o transmissor crie um IV (Initialization Vector, vetor de inicialização) específico para o pacote, que é combinado com a chave e usado para criptografar o pacote. O receptor gera seu próprio pacote correspondente e o usa para decodificar o pacote. Em teoria, essa abordagem é melhor do que a tática óbvia de usar apenas a chave secreta compartilhada, pois inclui um bit de dado específico para o pacote que dificulta sua violação. Entretanto, se uma chave compartilhada estiver comprometida, um invasor poderá bisbilhotar o tráfego de informações ou entrar na rede.
• WPA e WPA2: estes certificados de segurança são baseadas no padrão da Wi-Fi Alliance para redes locais sem fio e utilizados por muitas empresas e até em redes domésticas. Eles permitem autenticação mútua para verificação de usuários individuais e criptografia avançada. A WPA fornece criptografia para empresas, e a WPA2 – considerada a próxima geração de segurança Wi-Fi – vem sendo usada por muitos órgãos governamentais em todo o mundo. “O WPA2 com AES é a novidade, tanto para o uso corporativo quanto para o pessoal. Ao usuário residencial, ele garante um excelente padrão de segurança e, aos usuários corporativos, permite agregar um servidor de autenticação para controle dos usuários em conjunto com a criptografia”, avalia Diogo Superbi, engenheiro de vendas da Linksys no Brasil.

Assinatura Digital
Um recurso conhecido por Assinatura Digital é muito usado com chaves públicas. Trata-se de um meio que permite provar que um determinado documento eletrônico é de procedência verdadeira.

Quem recebe um documento assinado digitalmente usa a chave pública fornecida pelo emissor para se certificar da origem. Além disso, a chave é integrada ao documento – isso implica que qualquer alteração realizada nas informações vai invalidar o documento.

Criptografia Quântica
Este tipo de codificação de informação difere dos demais métodos criptográficos porque não precisa do segredo nem do contato prévio entre as partes.

A criptografia quântica permite a detecção de intrusos e é incondicionalmente segura mesmo que o intruso tenha poder computacional ilimitado. Mas o seu custo de implantação é muito elevado.

Outro fato limitante para a adoção dessa técnica é a taxa de erros na transmissão dos fótons, seja por ondas de rádio ou fibra ótica. Até agora, os melhores resultados foram obtidos por meio de fibras de altíssima pureza, abrangendo uma distância de aproximadamente 70 km.

retirado do link http://pcworld.uol.com.br/reportagens/2007/10/05/idgnoticia.2007-10-04.0383475254/

Hoje várias pequenas e médias empresas adotam um servidor Linux como servidor de email, página, firewall e proxy. Quase sempre o proxy usado é o Squid que vem em várias distribuiçoes Linux.
De configuração fácil e com vários tutoriais espalhados pela Internet, muitas pessoas setam a configuração mínima se esquecendo ou até mesmo nem sabendo de configurações importantes de segurança.

O Squid possui muitas configurações, é possível criar um grande número de soluções com ele. Irei falar de algumas configurações de segurança muito importantes que irão ajudar a proteger sua rede interna.

As configurações são:

forwarded_for

• Por padrão o Squid irá incluir o ip ou nome da sua máquina nas solicitações HTTP. A informação será passada assim:

  X-Forwarded-For: 192.168.2.3

  Para um atacante essa informação é muito interessante. Ele irá saber o ip da sua máquina interna como também saber qual classe ip você usa internamente. Para o site visitado não interessa para ele qual seu ip interno, o importante é que você visitou o site.
  Sete essa configuração como forwarded_for off

strip_query_terms

• Por padrão o Squid já possui essa configuração como ativa. Ela serve para não colocar no log os parâmetros que são passados junto ao endereço acessado pelo usuário. Assim garante a privacidade. As vezes quando se usa filtro por palavras e um site apresenta acesso negado é interessante setar essa opção como off para verificar no log o endereço completo.

header_access

• Essa configuração permite que o Squid não forneça uma série de informações para os sites acessados. Com elas você pode criar um servidor de proxy igual ao conhecido Anonymizer. Irei falar apenas as principais, as restantes você irá encontrar no manual do squid. As configurações abaixo servem para não ser passadas informações do seu servidor, como versão do sistema e ip.

  header_access From deny all
  header_access Via deny all
  header_access Server deny all

  existe mais duas que podem ser desligadas, mas alguns sites podem não abrir. Eu tive problemas com sites seguros com as configurações abaixo. A primeira não envia a versão do navegador e a segunda o site de referencia.

  header_access User-Agent deny all
  header_access Referer deny all

acl Safe_ports

• No squid.conf dos RedHat like essa acl já vem configurada. Se o seu squid.conf não tiver use. Com ela você limita o acesso apenas as portas necessárias. O squid como um proxy poderia ser usado para envio de emails via HTTP na porta 25. Para que isso não aconteça sete o seguinte:

  acl SSL_ports port 443 563
  acl BADPORTS port 7 9 11 19 22 23 25 53 110 119 513 514 3128 8080
  acl Safe_ports port 80          # http
  acl Safe_ports port 21          # ftp
  acl Safe_ports port 443 563     # https, snews
  acl Safe_ports port 70          # gopher
  acl Safe_ports port 210         # wais
  acl Safe_ports port 1025-65535  # unregistered ports
  acl Safe_ports port 280         # http-mgmt
  acl Safe_ports port 488         # gss-http
  acl Safe_ports port 591         # filemaker
  acl Safe_ports port 777         # multiling http
  acl CONNECT method CONNECT
  http_access deny CONNECT !SSL_ports
  http_access deny BADPORTS
  http_access deny !Safe_ports

  Como podem ver, apenas algumas portas serão usadas para navegação. se algum usuário tentar uma porta diferente da relação será mostrado o aviso de acesso negado. Se realmente precisar adicionar outra porta é necessário apenas duplicar a regra. O acl do BADPORTS é interessante caso exista uma infecção de máquinas internas com vírus ou trojan e você desejar bloquear a porta usada pela infecção na saída da sua rede ou para aquele usuário que não adiantar falar que não deve usar algum programa e seta o proxy para tentar acessar.

Bom é isso. O squid é um poderoso servidor de proxy, com ele você pode criar políticas de acesso na sua rede interna completas. Se você tiver outras dicas de segurança para o Squid mandem seu comentário.

retirado do blog do Alex Gorges

http://algorges.blogspot.com/2008/03/squid.html