Linux e Logs: A necessidade de auditar – Parte 1

Por que auditar?

Auditar se faz necessário para certificar que as atividades dos usuários e administradores, falhas, exceções e eventos de segurança da informação estejam em conformidade com as regras de negócio e políticas (incluindo segurança da informação) estabelecidas pela empresa, além de certificar a eficácia das normas estabelecidas.

A análise de logs muitas vezes é tratada como uma tarefa de baixa prioridade pelas organizações e administradores de redes e sistemas, em muitos casos, os administradores sequer possuem recursos e treinamento para análises proativas, ou não os utilizam, por considerarem essa atividade “entediante” e menos importante que a resolução de problemas operacionais. A análise de logs acaba sendo uma atividade simplesmente reativa e improdutiva, onde se espera por uma falha ou desastre (as vezes levando a parada do total de um negócio) para solucionar um problema que em muitos casos estava sendo anunciado e “embaixo dos nossos olhos”.

O que é um log

Seguindo a definição da Wikipedia (http://pt.wikipedia.org/wiki/Log_de_dados):

log de dados é uma expressão utilizada para descrever o processo de registro de eventos relevantes em um sistema computacional. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado. Um arquivo de log pode ser utilizado para auditoria e diagnóstico de problemas em sistemas computacionais.

Portanto, através do armazenamento dos “logs”, os eventos que ocorrem nas redes e sistemas de uma organização, sendo que cada entrada contém informações sobre um evento específico, são registrados e mantidos por um período de tempo acordado para auxiliar em futuras auditorias (isso inclui também possíveis investigações), recuperação de falhas na rede ou em sistemas, e certificar o cumprimento das normas estabelecidas pelos usuários e administradores do ambiente.

Os logs asseguram, após a ocorrência de um desastre, falha ou violação de acesso, a estabelecer a situação normal de funcionamento dos sistemas, portanto, o registro de eventos em sistemas computacionais está ligado diretamente ao “Plano de continuidade de negócios”.

Conforme o “Código de prática para gestão de segurança da informação – ABNT NBR ISO/IEC 27002:2005”, é estabelecido no Item 10.10 e subitens, que os sistemas sejam monitorados e eventos de segurança da informação sejam registrados, tendo como principais objetivos:

  • Detectar atividades não autorizadas de processamento da informação;
  • Checar a eficácia dos controles adotados e para verificar a conformidade com o modelo de política de acesso;
  • Auxiliar as organizações a estarem de acordo com todos os requisitos legais relevantes aplicáveis para suas atividades.

Zimbra e Windows 10 : Três coisas que você precisa saber !

zimbra-no-lettermark - Copy

Olá! O Windows 10 foi lançado e como muitos usuários utilizam o SO da Microsoft para acessar o Zimbra, é preciso analisar e conhecer o impacto e novas possibilidades dessa atualização. Portanto, abaixo está a tradução de um artigo do Jorge de La Cruz, com três informações indispensáveis sobre Windows 10 e Zimbra que você deve conhecer !

  • Porta Arquivos como unidade de rede no Windows 10

Como o porta arquivos utiliza o protocolo WebDav, é possível conectar sem nenhum problema com o Windows 10, transformando-o em uma unidade de rede. Com esse método, os usuários poderão acessar seus arquivos tanto pela interface Web como pelo SO.

Zimbra-webdav-win10-002

 

No Tech Center da Zimbra a documentação completa está disponível: https://wiki.zimbra.com/wiki/WebDAV#Windows_10.2C_8.1.2C_8_and_7

  • Windows Mail APP utiizando EAS (Exchange ActiveSync)

Nas versões 8, 8.1 e 10 do Windows, quem possuem uma ferramenta nativa de E-mail, contatos e calendários, é possível utilizar esta aplicação para se conectar no Zimbra, destacando que este recurso é somente para a versão Network, licenciada, do Zimbra.

Windows10-mail-zimbra-eas-012

No Tech Center da Zimbra a documentação completa está disponível: https://wiki.zimbra.com/wiki/Windows_Mail_app_using_EAS_%28Exchange_ActiveSync%29

  • Zimbra Web Client e o novo navegador Microsoft Edge

Uma das maiores novidades do Windows 10 é o novo navegador, Microsoft Edge, conhecimento anteriormente como Projeto Spartan.

Zimbra-webclient-windows10-8.7-002

Infelizmente, o cliente WEB do Zimbra ainda não é 100% compatível com este novo navegador, porém a Zimbra está trabalhando intensamente para garantir esta compatibilidade no próximo PATCH para a versão 8.6.0 e informar todas as orientações para compatibilização também com a versão 8.0.


 

Fonte: https://www.jorgedelacruz.es/2015/07/30/windows-10-esta-aqui-tres-cosas-que-necesitas-saber-sobre-zimbra-y-windows-10/

Zimbra 8.6.0: Aplicando o Patch 3

zimbra-no-lettermark - Copy

Olá ! Nesse artigo irei abordar a aplicação do Patch 3 para a versão 8.6.0 do Zimbra. Essa atualização é altamente recomendada pois contempla diversas correções importantes, entre as quais eu gostaria de destacar:

  • Bug 71695 – Emptying the trash via IMAP moves the emptied messages to the Dumpster.
  • Bug 74953 – Mail items deleted with IMAP are automatically deleted after time duration set in zimbraMailTrashLifetime.
  • Bug 97552 – Ability to paste image from clipboard.
  • Bug 98420 – Pasting an image from the clipboard into the html editor body using Ctrl-V works correctly.
  • Bug 98512 – Fixed issue causing cursor to remain or highlighted in message body instead of ‘To’ field from HTML Compose Window
  • Bug 98584 – Fixed issue causing scroll bar issues in Move Message dialog window.
  • Bug 99629 – Chrome: Folder structure displays correctly.
  • Bug 99853 – Chrome: Login page displays correctly.

Calma jovem, irei detalhar cada bug que destaquei acima ! 

Primeiramente, sobre os Bugs 7169574953, é fundamental para quem utiliza clientes externos (IMAP) para acessar as caixas postais. O Zimbra possui o recurso de pasta de despeso (Dumpster) e ao deletar permanentemente uma mensagem via IMAP não era possível recuperar as mensagens. A outra correção é importante, é que ao remover mensagens via IMAP o atributo zimbraMailTrashLifetime também será respeitado.

Para os Bugs 9755298420, é uma correção muito importante pois trata o recurso de copiar e colar imagens do clipboard, o que facilita muito a rotina de qualquer usuário. Continuando a falar sobre a interface Web, os Bugs 98512, 98584 corrigem comportamentos que por experiência própria atrapalhavam o meu trabalho, que são: Modificação do campo do cursor para o corpo da mensagem ao invés do destinatário e a rolagem indesejada da mensagem ao abrir a mesma.

Os bugs 99629 e 99853 corrigem carregamento incorreto das pasta e página de login ao utilizar o navegador Chrome.

Para aplicar o PATCH 3, os mesmos procedimentos para o PATCH 2 devem ser aplicados:

https://respirandolinux.wordpress.com/2015/05/18/zimbra-8-6-0-aplicando-o-patch-2/

Zimbra 8.6: Entregando os SPAMs independentemente da pontuação

zimbra-no-lettermark - Copy

Olá ! Nesse artigo irei falar sobre o ajuste da ação a ser aplicada no Anti Spam do Zimbra para que a mensagem seja entregue independentemente da sua pontuação (spam score). Nesta nova versão do Zimbra o suporte à ações para mensagens com pontuação de SPAM alta foi aprimorado, permitindo que o administrador defina qual ação seja aplicada.

Essa configuração é armazenada no parâmetro zimbraAmavisFinalSpamDestiny e aceita os seguintes valores:

  • D_DISCARD: Descarta silenciosamente a mensagem (valor padrão)

  • D_PASS: Entrega a mensagem independentemente do Score.

  • D_BOUNCE: Gera um Bounce para a mensagem

  • D_REJECT: Rejeita a mensagem.

Desta forma, desejamos ajustar o parâmetro para o valor D_PASS:

zmprov mcf zimbraAmavisFinalSpamDestiny D_PASS

Zimbra 8.6/8.7/8.8: Configurando disclaimer (aviso legal) por domínio

Olá ! Nesse artigo irei falar sobre a utilização de aviso legal (Disclaimer) no Zimbra 8.6/8.7/8.8. A partir da versão 8.6 do Zimbra o suporte aos avisos legais foi aprimorado, permitindo a configuração de disclaimers por domínio. Para termos uma ideia da dimensão dessa atualização, na união europeia o uso de avisos legais é obrigatório, desta forma na versão anterior ambientes com múltiplos domínios que necessitassem de aviso legais diferentes teriam dificuldades em implementar o Zimbra.

Primeiramente, é necessário habilitar o suporte aos avisos legais:

zmprov mcf zimbraDomainMandatoryMailSignatureEnabled TRUE

Após habilitar o suporte, é necessário incluir os Disclaimer dos domínios:

zmprov md example.com zimbraAmavisDomainDisclaimerText “Disclaimer modo texto”

zmprov md example.com zimbraAmavisDomainDisclaimerHTML “Disclaimer modo HTML

Após adicionar os avisos legais, o mesmo precisa ser habilitado, também por domínio:

./libexec/zmaltermimeconfig -e example.com

Spamassassin: Portas para o mecanismo Razor

zimbra-no-lettermark - Copy download (2)

Olá ! Na última turma que ministrei do curso EAD de Zimbra nos deparamos com um problema ao habilitar o mecanismo Razor através de um Firewall, o mesmo não consegui se conectar no pool de servidores deste mecanismo.

Após pesquisas (gostaria de agradecer ao aluno Rickifer pelo empenho na pesquisa) foi constatado que as seguintes portas (Output) devem ser liberadas para o funcionamento deste mecanismo:

2703/tcp e 7/tcp

O mecanismo não necessita de nenhuma porta para conectar no seu servidor.

Referências:

http://wiki.apache.org/spamassassin/NetTestFirewallIssues

Roundcube + Spamassassin: Treinando automaticamente o anti spam

Seguindo a série de artigos sobre o Spamassassin e Amavis, apresento agora um complemento (plugin) para o Roundcube que permitirá que o spamassassin “treine”  automaticamente as mensagens após os usuários marcarem como “Spam” ou “Não Spam”.

Eu havia publicado uma configuração para o Dovecot mover as mensagens marcadas como SPAM automaticamente para a pasta desejada : https://respirandolinux.wordpress.com/2013/08/21/dovecot-mover-spam-automaticamente-para-a-pasta-desejada , porém caso ocorra uma falso positivo o usuário não terá como “treinar” o anti-spam para não considerar mais essa mensagem. Como também pode ocorrer de um SPAM não ser identificado e estar chegando na caixa postal do usuário.

Utilizando o Roundcube, é possível utilizar o complemento MARKASJUNK2 para treinar automaticamente o spamassassin, primeiramente efetue o Download no mesmo neste link:

http://www.tehinterweb.co.uk/roundcube/#pimarkasjunk2

Após efetuar o Download, descompacte o mesmo dentro do diretório plugins da sua instalação do Roundcube e edite as seguintes linhas do arquivo config.inc.php:

#Estamos informando para o plugin utilizar comandos como mecanismo para treinar o anti-spam

$rcmail_config[‘markasjunk2_learning_driver’] = ‘cmd_learn’;

#Qual comando deve ser utilizado para identificar a mensagem como spam

$rcmail_config[‘markasjunk2_spam_cmd’] = ‘sa-learn –no-sync –spam –username=amavis %f’;

#Qual comando deve ser utilizado para identificar a mensagem como não-spam (HAM)

$rcmail_config[‘markasjunk2_ham_cmd’] = ‘sa-learn –no-sync –ham –username=amavis %f’

Feito isso, adicione o markasjunk2 aos plugins que serão carregados no Roundcube, no arquivo main.inc.php:

$rcmail_config[‘plugins’] = array(“managesieve”, “markasjunk2”);

Ao carregar o Webmail, serão apresentados os botões SPAM para marcar qualquer mensagem SPAM e o botão NÃO SPAM para marcar mensagens dentro da pasta SPAM do usuário como falso positivo, quando o usuário clicar em uma destas opções o spamassassin será treinado automaticamente.

Abaixo estão as capturas de tela demonstrando a funcionalidade no Roundcube:

Marcar como Não Spam:

Captura de tela de 2013-09-10 15:39:44

Marcar como SPAM:

Captura de tela de 2013-09-10 15:40:04