Muitas pessoas podem estar numa situação como esta que irei descrever aqui:

– Trabalham numa empresa onde o número de funcionários é relativamente alto (> 5 utilizadores de internet já é um bom número) e todos tem endereços de e-mail, recebem e enviam mensagens o dia todo.
– Tem algumas unidades de Windows espalhados pela rede toda, vulneráveis _sempre_ às praguinhas virtuais.
– São administradores, técnicos ou analistas, preocupados com a segurança e integridade dos dados de sua rede.

 

Para essas pessoas, aqui vão minhas recomendações:

 

1) Bloquear todos os webmails conhecidos do mercado. Ou pelo menos certificar-se de que o webmail que o funcionário tenha acesso possua anti-vírus e anti-spam.

 

Isto pode ser feito facilmente com “ACL’s” no Squid. Se você usar um proxy transparente, tem também a opção de cortar a conexão com os webmails logo no iptables.

 

Aqui vai uma ACL fácil de se fazer no Squid:

acl webmails url_regex hotmail webmail mail

 

// Cuidado ! Esta acl irá bloquear todos os endereços que tenham as expressões citadas, como “hotmail”.. isso pode gerar efeitos colaterais desagradáveis. Este é apenas um exemplo para ilustrar o poder das ACL’s.

 

Se você não puder, ou não quiser bloquear webmails, temos a opção de instalar o viralator no Squid, para ele checar com o antivirus instalado no seu servidor local, todos os arquivos .exe .zip (entre outros) antes de permitir que o usuário os baixe. Mais detalhes sobre o Viralator em uma próxima matéria.

 

2) Usar o fetchmail para buscar nos webmails dos funcionários as mensagens, e servi-las a eles pelo POP local.

 

Esta saída tem o lado negativo deles terem de fornecer o login e senha deles, para o fetchmail conseguir baixar as mensagens.

 

Na verdade cada usuário pode ter seu arquivo .fetchmail, que fica em seu home directory, e dessa forma você não precisaria saber da senha dele, anulando o lado negativo que citei acima. De qualquer forma, você como root vai poder ler o arquivo depois. Mas é só não contar a eles que você tem essa possibilidade, ou não fazer isto de fato. Infringir os direitos à privacidade alheia é feio 🙂

 

Se você quiser fazer um único arquivo para todas as contas POP dos funcionários, crie um arquivo .fetchmailrc que contenha todas as informações de exemplo:

 

poll pop3.gmail.com with protocol pop3:
user ‘xxxxx’ there with password ‘xxxx’ is ‘xxxx’ here

 

Explicação : O comando “poll” significa algo como “ir buscar as mensagens”, seguido pelo endereço do servidor e o protocolo.

Logo a seguir temos “user xxxxx”, que representa o usuário no servidor de webmails. “with password xxxx” representa a senha da conta do usuário, e o “xxxx here”, nome LOCAL do usuario, no seu servidor Linux..

 

Feito isso, execute o comando :

/usr/bin/fetchmail -f /root/.fetchmailrc -a -s -K -F

 

Ou coloque-o em sua crontab (altamente recomendado), e assim você sempre terá as mensagens baixadas para o seu servidor.

 

O fetchmail precisa de um MTA (Mail Transport Agent) que pode ser o Sendmail, Postfix, QMAIL ou outros. No meu caso, estou usando o Postfix + MailScanner, que é uma combinação que deu muito certo no meu caso, apesar de ser meio pesada.

 

Quando seu servidor baixar as mensagens do POP remoto, ele irá colocá-las dentro da mailbox (ou maildir) do usuário, inicializando uma conexão SMTP de dentro para dentro, ou seja, de uma interface ethX para outra, e nessa hora a mensagem seria escaneada pelo seu ClamAV, já pré-configurado.

 

Um esboço de como a coisa toda funciona:

 

O usuario foo tem uma conta no Gmail, e o meu servidor local (Debian) irá, pelo fetchmail. buscar as mensagens no servidor pop3 deles.

Quando ele terminar de baixar, antes do conteúdo ir para a mailbox local do foo, meu servidor escanearia tudo em busca de conteúdo malicioso (por intermédio do MailScanner / ClamAV) e só entregaria de fato as mensagens que estiverem limpas.

 

Leia a segunda parte deste mini-tutorial clicando no link a seguir:
http://www.lsmod.net/2008/09/clamav-mailscanner-e-o-mta/

 

Sobre Jeremias Zerbini

Jeremias Zerbini escreveu 76 artigos neste blog.

27 anos, entusiasta de tecnologias opensouce, geek, adorava perder as partições do HD aos 15 anos instalando GNU/Linux. Gosta de video-games, e isso inclui instalar o Yellow Dog no PS3 novinho. Consultor autônomo na área de infra-estrutura de servidores, está sempre dedicando, quando possível, um tempinho extra para pesquisar sobre novas e melhores alternativas ao software proprietário [mas sem histeria].

Related Posts Plugin for WordPress, Blogger...

One Response to “Políticas simples de segurança dentro da empresa”

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *