Guia do Linux/Avançado/Introdução ao uso de criptografia para transmissão/armazenamento de dados/Alternativas seguras a serviços sem criptografia

Alternativas seguras a serviços sem criptografia editar


http editar

O uso de alternativas seguras é indispensável em servidores que servem páginas de comércio eletrônico, banco de dados, sistemas bancários, administração via web ou que tenham dados que oferecem risco, se capturados. Existem duas alternativas: instalar o servidor Apache-ssl (pacote apache-ssl ou adicionar o módulo mod-ssl na instalação padrão do Apache. Esta segunda é a preferida por ser mais rápida e simples de se administrar, por usar o servidor Web Apache padrão e sua configuração. Veja [ch-s-apache.html#s-s-apache-ssl Uso de criptografia SSL, Seção 12.13] para detalhes de como configurar um servidor Web para transmissão de dados criptografados.


Transmissão segura de e-mails editar

A codificação padrão usada para o envio de mensagens em muitos clientes de e-mail é o MIME/base64. Isto não oferece muita segurança porque os dados podem ser facilmente descriptografados se pegos por sniffers (veja [#s-d-cripto-sniffer Sniffer, Seção 20.2]) ou abertos por administradores não confiáveis no diretório de spool do servidor. Existem uma diversidade de servidores SMTP, POP, IMAP do Linux que já implementam o protocolo de autenticação SSL/TLS, exigindo login/senha para o envio/recepção de mensagens, cabeçalhos de autenticação (aumentando um pouco mais a confiança sobre quem enviou a mensagem). Em especial, a autenticação é útil quando desejamos abrir nossas contas de e-mail para a Internet, por algum motivo, e não queremos que outros façam relay sem nossa autorização. Outra forma de garantir a segurança da mensagem/arquivos através do correio eletrônico é usando o PGP (veja [#s-d-cripto-gpg Usando pgp (gpg)para criptografia de arquivos, Seção 20.5]) em conjunto com um MUA (Mail User Agent - cliente de e-mails) que suporte o envio de mensagens criptografadas/assinadas usando PGP. A vantagem do GPG em cima da autenticação SSL é que você tem garantidas da autenticidade da mensagem e você pode verificar sua integridade. Os dois programas mais usados em sistemas Unix são o mutt e o sylpheed. O mutt é um MUA para modo texto e o sylpheed para modo gráfico. Ambos são muito flexíveis, permitem uma grande variedade de configurações, personalizações, possuem agenda de endereços e gerenciam diversas contas de e-mails em um só programa. Para encriptar/assinar uma mensagem no mutt escreva/responda seu e-mail normalmente, quando aparecer a tela onde você tecla "y" para enviar a mensagem, tecle "p" e selecione uma das opções para criptografar/assinar uma mensagem. Para fazer a mesma operação no sylpheed, escreva/responda seu e-mail normalmente e clique no menu "Mensagem" e marque "assinar", "criptografar" ou ambos. A chave pública deverá estar disponível para tal operação (veja [#s-d-cripto-gpg-c-a Adicionando chaves públicas ao seu chaveiro pessoal, Seção 20.5.8] e [#s-d-cripto-gpg-c-e Extraindo sua chave pública do chaveiro, Seção 20.5.7]).


Servidor pop3 editar

A alternativa mais segura é a utilização do protocolo IMAP com suporte a ssl. Nem todos os clientes de e-mail suportam este protocolo.


Transferência de arquivos editar

Ao invés do ftp, use o scp ou o sftp para transferência segura de arquivos. Veja [ch-s-ssh.html#s-s-ssh-cliente-scp scp, Seção 15.2.2] e [ch-s-ssh.html#s-s-ssh-cliente-sftp sftp, Seção 15.2.3]. Uma outra alternativa é a configuração de uma VPN entre redes para garantir não só a transferência de arquivos, mas uma seção em cima de um tunel seguro entre duas pontas.


login remoto editar

Ao invés do uso do rlogin, telnet e rsh utilize o ssh (veja [ch-s-ssh.html#s-s-ssh-cliente-ssh ssh, Seção 15.2.1]) ou o telnet com suporte a ssl (veja [ch-s-telnet.html#s-s-telnet-install Instalação, Seção 14.1.6]).


Bate papo via IRC editar

O programa SILC (Secure Internet Live Conference) realiza a criptografia de dados durante o bate papo entre diversos usuários conectados via rede.


Transmissão de mensagens via ICQ editar

O protocolo ICQ trabalha de forma plana para transmissão de suas mensagens, inclusive as senhas. Clientes anteriores ainda usavam o UDP (até a versão 7) para envio de mensagens, piorando um pouco mais a situação e deixando o cliente mais vulnerável a falsificações de pacotes. Outro ponto fraco é que se alguma coisa acontecer com os pacotes UDP, eles serão simplesmente descartados perdendo a mensagem. Ao invés do ICQ, você poderá usar algum cliente do protocolo Jabber (como o gaim, gaber ou gossip) ou o LICQ mais atual com suporte a ssl compilado. O problema do LICQ com ssh, é que as duas pontas deverão ter este suporte compilado e funcionando.