Ubuntu na terra do pão di queijo

12/03/2007

Navegando seguramente na LanHouse

Arquivado em: Segurança, Software Livre — Leonardo Amaral @ 10:09

A algum tempo atrás, havia colocado uma série de coisas no meu PenDrive, para que pudesse acessar de qualquer lugar em qualquer lan, meu servidor, e o navegador armazenando dados na pendrive. Hoje precisei de usar uma lan, e tive uma idéia muito interessante. Tunelamento de SSH. Como se trata de um tutorial, vou somente descrever como a coisa funciona, sem adentrar em detalhes conceituais. Se alguem quiser informações, podem perguntar. Primeiro passo é preparar a pendrive. Salve e instale os seguintes programas:

Depois de salvos, e o Firefox instalado na pendrive (procedimento conhecido como “Next, next, end), abra o putty.

Tutorial Tunel SSH 1

Notem a parte do endereço e da porta. Você pode perguntar onde você vai achar um servidor ssh. Eu respondo: Na sua casa! Configure um dyndns ou um no-ip, abra o ssh numa porta alta (>1024), lembrando que o openssh tem pra windows via cygwin também, e voialá! Depois, as configurações da porta:

Tutorial Tunel SSH 2

Aqui tem uma configuração e um conceito. Esta parte permite que o seu servidor abra uma conexão na porta (Source Port) e encaminhe os dados, via tunel criptografado, para o destino. Como o referencial sempre é seu servidor e a maquina que está acessando, entao voce coloca na porta de origem, a porta do servidor que você quer acessar, e no destino o nome da maquina que voce quer abrir a porta servidora. No nosso caso, queremos na propria maquina que estamos acessando, entao colocamos localhost. E para desencargo de conciencia, colocamos tambem a porta, que pode ser qualquer uma, porém para organizar, colocamos a mesma que estamos acessando. Lembrando que é obvio que é fundamental que esteja rodando um servidor de proxy no servidor, mas não se preocupem que vou deixar alguns links no final para os senhores deleitarem. Daí pra frente, é só conectar, colocar login, senha e correr pro abraço.

Configurando o Firefox para usar o proxy.

Os senhores me perguntam “Porque usar o FF Portable??”. Lhes digo, ele salva todos os dados de navegação na sua pendrive, o que elimina os dados na maquina. Ainda vou desenvolver a técnica de rodar o java também sem ser da maquina hospedeira, o que daria completa segurança ao acessar bancos, já que não vai ficar NADA na máquina.

Para configurar, vá em Ferramentas, Opções. Clique na aba “Avançado” E depois na pequena aba logo abaixo escrito “Rede”. Clique em “Configurações” e defina como no screenshot a seguir:

Tutorial Tunel SSH 3

O SSH vai redirecionar a porta do servidor que você conectou para o endereço e porta que você colocou, que no caso é a propria maquina na porta correspondente. Assim sempre que algum programa chamar nessa porta, na verdade ele vai estar acessando como no servidor, e em um tunel criptografado. Lembrando que deve ter algum proxy instalado no local. Vejam como fica no final:

Tutorial Tunel SSH 4

Vou garimpar uns tutoriais bons de Squid e SSH para colocar os links, pois como está sendo mostrado, estou enviando este artigo pelo tunel que criei na lanhouse :]

12 Comentários »

  1. Show de bola Leo…

    PS: Mande também o material publicado do seu blog para http://www.bestlinux.com.br

    Comentário de Leandro César — 14/03/2007 @ 19:34

  2. E se tiver rodando um keylogger no windows a segurança ja era, nao?

    []ś

    Comentário de Pedro — 14/03/2007 @ 20:30

  3. Sei não. Ja pensei varias vezes no assunto e não considero Lan Houses lugares seguros pra acessos a Bancos de forma alguma.

    Como você não tem conhecimento do hadware fica difícil determinar quão seguro ele é.

    Comentário de Escovadordebit — 14/03/2007 @ 22:15

  4. Pena que só funciona se estiver disponível conexão conexões saintes na porta 22.
    Eu por exemplo tenho na faculdade somente acesso externo passando pelo proxy, o firewall barra todo o resto.

    Comentário de Cabelo (Luciano Silveira) — 15/03/2007 @ 0:47

  5. Caramba ,boa dica mesmo a tua! Pra ser sincero, se alguém me perguntasse como navegar seguro numa LAN,eu ia aconselhar.. sei lá…customizar um Kurumin pra pôr na bandeja e acessar tudo de lá…mas tua dica é realmente mais simples.

    Repito Boa dica mesmo!

    http://covarasa.wordpress.com

    Comentário de Coveiro — 15/03/2007 @ 6:49

  6. O problema é se a lan house usar algum gerenciador mais restritivo.

    Já vi uns que não deixam o usuário executar NADA além de browser/MSN/jogos, nem o Windows Explorer abre.

    E mesmo assim, uma lan house não é um lugar seguro.

    Comentário de Renan "Renan_s2" — 15/03/2007 @ 14:25

  7. Bom, tem sim estes fatores, mas a segurança está no fato de que grande parte das pessoas que tentam algum ataque em lan house o fazem com softwares. Dispositivos complexos de hardware não são muito utilizados em Lans (Não que no minimo eu tenha conhecimento). De toda forma, este sistema protege sim contra evasão dos dados que são gerados da máquina para a internet, o que adiciona uma segurança razoavel. Outro ponto a se atentar é o fato do uso de um navegador que o próprio usuário carrega, e seus dados, cookies e cache ficam salvos na pendrive, o que reduz os ataques de kiddies, que são mais comuns neste tipo de ambiente do que ataques mais sofisticados.

    Comentário de Leonardo Amaral — 15/03/2007 @ 15:20

  8. Gostei da idéia, fica guardada para quando for necessário. Tem lanhouse desabilitando o acesso de pendrive. Ví um projeto chamado OperaTor. Dá uma googlada.

    Comentário de morphors — 16/03/2007 @ 16:50

  9. Eu utilizo tambem o recurso de compressão que o próprio SSH suporta, basta selecionar na opção SSH do Putty a compressão. Assim vc salva banda e ajuda bastante no caso de conexões discadas.

    Comentário de Alex Martini — 17/03/2007 @ 14:59

  10. ola,

    Veja esse blog que incrivel:

    http://publicidadebr.wordpress.com

    Comentário de publicidadebr — 17/03/2007 @ 17:19

  11. Olá, gostei do artigo, mas ainda acho muito insegura qualquer tipo de conexão feita numa lan house, principalmente pq há a possibilidade de uso de algum keylogger ou algum programa para ver a tela do usuário.

    Com relação ao tunnel existem várias outras possibilidades, eu mesmo costumo trabalhar remotamente usando diversos tuneis SSH. Uma coisa que dispensaria o uso do squid nesse caso é a utilização da opção Dynamic na aba tunnels, basta escolher dynamic e colocar a source port(exemplo 1080), não precisa do destination. Isso cria um servidor socks para ser usado em nossa conexão. Para usar no Firefox basta preencher apenas o campo host e porta na linha SOCKS e selecionando Socks v4. Obs.: Vários programas tem suporte a Socks, é possível até usar programas p2p.

    Um comentário que ví é sobre a conexão na porta 22, uma saída seria o uso da porta 443(conhecida como HTTPS), ela é liberada na maioria dos proxys, mas nesse caso é necessário trocar a porta na config do servidor SSH ou colocar uma regra no Iptables para repassar os pacotes da 443 para a 22 internamente.

    Comentário de ChameleonBR — 11/07/2007 @ 22:08

  12. Conexões via LanHouse SEMPRE são inseguras, mas há casos que a necessidade conta e esse balanceamento deve ser feito por quem usa. A briga da segurança é como nos desenhos de Tom e Jerry, sendo a ideia complicar mais a vida do outro lado. Eu havia lido sobre o Socks e é uma saida interessante, mas é interessante você manter via squid pois você elimina o problema de uso de banda (Lembre-se, voce torra tanta banda quanto o que você está acessando), com páginas em cache e o controle do que tá passando por ali. Em todo caso, são soluções diferentes, aplicaveis em momentos diferentes. Fora as resalvas, a observação é interessante sim.

    Comentário de Leonardo Amaral — 12/07/2007 @ 8:11

Alimentação RSS de comentários a este artigo. URI do TrackBack

Deixe um comentário

Blog no WordPress.com.