BFW Firewall & Router

[WarlockWS]

Estes dias estive numa empresa de desenvolvimento, e lá pensei num furo de segurança, não do coyote mas do método de uso do coyote, os donos da empresa usam alguns artificios de segurança pra evitar que o pessoal navegue ao léo, porem ao ver o caso dele parei pra pensar que se alguem colocar outro disquete de boot pra acessar qdo ele sair burlam facilmente as regras, a minha pergunta é, imaginando que eu tenho outro windows instalado, tem como checar aquela chave que ele cria na primeira execução pra saber se o disquete for trocado ? se tem como faço isso ? gostaria de depois do boot cadastrar o coyote pra ter certeza que o mesmo esta rodando mas fazer isso sem que eles soubessem pra dar um susto neles.

Abraços

[publio]

pq você não instala o CL em HD e desativa o floppy...?
\o/

[Giba]

Se seão quiser instalar no HD dá para botar um lacre no drive de disquete, quem mexer vai ter que quebrar o lacre.

Dá uma pesquisada no google que v/ vai encontrar várias empresas que comercializam os mais variados tipos de lacres e muitos certamente vão servir para lacrar um drive de disquete.

[Marcelo - Brazil]

Já foi comentado aqui, no passado, sobre isso.
Infelizmente, o Coyote foi desenvolvido assim.
Ou vc "engaiola" o servidor, ou lacra.
Não existe uma "encriptação de software" ou similar para ele.

[Henrique]

Amigo, seja bem vindo...
Se a sua bios tem esta opção, coloque no setup da maquina na opção password com always e o micro quando for ligado ele pedira uma senha e niguem conseguira dar o boot sem esta senha. Eu uso este procedimento.
Obs. Não é 100% garantido, tem uma versões de bios que destravam com uma senha padrão, mas na maioria dos casos resolve.

Atenciosamente
Henrique

[Claudio Roberto Cussuol]

Henrique, mas assim quando há uma falha elétrica o coyote não volta.

[Henrique]

Desculpe, esqueci deste detalhe, eu tenho no-break, mas se o coyote estará sendo usado a nivel empresarial, esta empresa deve ter um responsavel pelo sistema para ele religar o coyote. O no-break tem a sua autonomia para uns vinte minutos no coyote. Se em caso de o disquete pifar alguem tambem vai ter q fazer a troca. Cada caso é um caso.

Um abraço
Henrique

[IceMan!]

Tenho uma ideia muito simples.
Deixe o drive de diskete dentro do gabinete, de um geito que não de pra trocar o diskete enfiando a mão pelas baias.
Depois coloque um cadeado ou trava na tampa do gabinete. Muitos gabinetes antigos, vem com a travinha de segurança, onde pode ser colocado um cadeado.
Também tem aquelas travas que são colocadas no lugar do parafuso, tipo cadeado.

[Marcelo - Brazil]

Ice !

Eu faço isso, uso um gabinete novo, "com todas as tampas".

Pro cliente até é "bonitinho"....he,he,he,he.

E lacro o gabinete, mexeu f**** a garantia.....

Ninguém coloca a mão, não entra sugeira externa e é claro, o 1.44 nem do "saquinho" ele sai, só ganha um rasguinho pra cabos e se colocar o disco na frente.

[Giba]

Se for gabinete novo dá para deixar tudo lá dentro mesmo.

Mas se for gabinete antigo dá para lacrar o botão também, eu fiz um experimental e funcionou, é só fazer um furo atravessando o botão, bem rente a frente de plástico do drive, daí é só atravessar um lacre de plástico, desses que usa em malote, o lacre trava o botão, para tirar o disquete tem que romper o lacre.

[Henrique]

Giba,
Gostei desta ideia do lacre no botão, um simples furo e ta morta a coruja.

Um abraço
Henrique

[Claudio Roberto Cussuol]

A criatividade de vocês não tem limite.

[WarlockWS]

Poxa galera obrigado pelas respostas, gostei de varias ideias aqui, porem o que eu queria mesmo eh fazer tudo isso por software, ja que o coyote gera a chave de acesso SSH eu gostaria de usar esta chave pra ter certeza que a inicializaçao foi feita com o mesmo disquete assinado, isso nao tem como fazer ?

Mas muito obgrigado por todas as respostas...

[Giba]

Se v/ usa nobreak nele pode saber pelo tempo de funcionamento, anote a hora em que ele foi ligado, se furar no tempo v/ vai saber que ele foi ressetado.

[Henrique]

>>ja que o coyote gera a chave de acesso SSH eu gostaria de usar esta >>chave pra ter certeza que a inicializaçao foi feita com o mesmo >>disquete assinado, isso nao tem como fazer ?

WarlockWS,

Seguinte, fazer uma marca digital no coyote não é tão dificil, mas fazer o hardware reconhecer so com cadeado numa porta paralela ou serial, o q nos podemos tentar, não sei se é viavel, deixo a duvida para o nosso guru, é colocar alguma variavel no coyote para que alguma maquina rede verifique ela e atravez de algum script usando o ssh ou equivalente se ela não estiver presente dar o reboot no coyote. Como disse não sei se é possivel vou dar uma estuda se o ssh tem esta função de rodar algum script.

Um abraço
Henrique

[WarlockWS]

agora entendo eu nao fui claro na minha pergunta, o que eu pretendo eh ter sempre um linux por exemplo (rodando algo como nagios) observando o coyote, em caso de boot por falha de energia travamento ou qquer coisa nao ha problema desde que seja colocado o mesmo disquete de boot, o proprio micro nao reconheceria isso mas um micro monitor.

Desculpem se fui pouco claro anteriormente mas eh isso que gostaria de fazer

[Henrique]

Alias, antes que batam em mim, deixa eu corrigir, em vez de um reboot em ciclos pode ser um e-mail para o administrador do sistema, avisando a falha de segurança e a hora inicial do uso de outro disquete.

Um abraço
Henrique

[WarlockWS]

Henrique Wrote:
-------------------------------------------------------
> Alias, antes que batam em mim, deixa eu corrigir,
> em vez de um reboot em ciclos pode ser um e-mail
> para o administrador do sistema, avisando a falha
> de segurança e a hora inicial do uso de outro
> disquete.
>
> Um abraço
> Henrique


Cara sua ideia eh boa, seria quase um net appliance, mas minhas pretençoes sao muito menores rssrs, somente descobrir se determinada chave de ssh foi modificada, assim teria certeza de ser um determinado disquete que esta rodando no coyote

[Marcelo - Brazil]

opa!
um email após um boot bem sucedido é uma idéia muito da legal.
se a informação fica sigilosa, quem "destrocar" o disco, ou seja, reboot com o "enviador de e-mail" será descoberto.
acho válido.

[Claudio Roberto Cussuol]

Não há muita coisa que você possa fazer no lado do coyote, porque no momento que o disquete for substituido você não tem como garantir que essa "coisa" esteja no disquete pirata.

Mas fazer este teste proveniente de uma outra maquina na rede é muito simples e não é preciso programar nem uma linha no coyote.

Quando você tenta fazer login no coyote a primeira coisa que ele te manda é essa asinatura digital gerada no primeiro boot, basta dizer que todas as vezes que a gente reconstroi o disquete o putty (ou qualquer outro cliente ssh) reclama que a assinatura mudou.

Se voce fizer um programa que fique rodando em alguma maquina da rede este programa poderia periodicamente "tentar" fazer login no ssh do coyote apenas para que ele te transmita a assinatura que seria gravada em um log.

O próprio log do coyote vai te mostrar todas essas "tentativas" de forma que o coyote vigia o seu programa e o seu programa vigia o coyote.

Falando em log eu vejo uma forma muito mais simples: você pode programar o coyote para gerar uma linha de log a cada x minutos, como o log é transmitido para outra maquina, se o seu coyote ficar off-line por algum tempo (rodando o disquete alienígena) essas linha vão faltar no log. Essa técnica é conhecida como "heart beat", imagine a outra maquina (a do log) medindo o "pulso" do coyote a cada minuto para saber se o "coração" dele está batendo. Se você quizer um e-mail, um alarme, ou o que quer que seja o software desta maquina pode providenciar, acho que até o kiwi faz isso.

Script para gerar o heart beat a cada minuto:

while true; do
logger "Oi! eu sou um coyote e estou funcionando bem"
sleep 60
done

[Henrique]

Claudio e demais.....

Vcs viram q uma pequena duvida sobre segurança no coyote gerou uma thread com varias repostas...
Poderiamos começar a pensar algum addon para a nova versão do coyote pensando neste assunto.

Um abraço
Henrique

[WarlockWS]

Pessoal andei viajando e por isso nao agradeci a resoluçao, fiz uma mescla das soluçoes de varios aqui, e agradeço a todos por isso, valeu mestre claudio por abrilhantar nossa discussao, e desculpem-me por nao ter sido claro na minha duvida, eh que como a duvida era minha e todo o contexto explicativo vinha de mim um simples preciso era suficiente pra mim mas nao pra demonstrar claramente minha duvida a vcs, valeu galera, e ja estou no BrazilFW a todo vapor será um sucesso com certeza..

Forte abraço