Instalando o FWKnop

O software FWKnop realiza o uso de diversos módulos implementados em Perl para o funcionamento de seus recursos.

A compilação do módulo Net::RawIP depende da instalação da biblioteca Pcap (utilizada por exemplo, no utilitário tcpdump e claro, na famosa ferramenta Wireshark).

Sendo assim, iremos obter e instalar a biblioteca PCap:

# cd /root
# wget -c ftp://fr.rpmfind.net/linux/fedora/releases
/11/Everything/i386/os/Packages/libpcap-0.9.8-4.fc11.i586.rpm
# rpm2tgz libpcap-0.9.8-4.fc11.i586.rpm
# installpkg libpcap-0.9.8-4.fc11.i586.tgz

Em seguida criaremos um link simbólico para o arquivo de objeto compartilhado da biblioteca:

# ln -sf /usr/lib/libpcap.so.0.9.8 /usr/lib/libpcap.so

Agora procederemos com a compilação e instalação do FWKnop:

# wget -c http://www.cipherdyne.org/fwknop
/download/fwknop-1.9.12.tar.bz2
# cp fwknop-1.9.12.tar.bz2 /usr/local/src/.
# cd /usr/local/src
# tar -xvjf fwknop-1.9.12.tar.bz2
# cd fwknop-1.9.12
# ./install.pl

Pressione ENTER para que o fwknop seja executado no sistema em modo servidor [server]. Em seguida pressione ENTER novamente para que o método de aquisição de dados seja baseado no uso da biblioteca pcap [pcap].

Informe a interface de rede que terá os pacotes capturados. No caso de um firewall onde a funcionalidade de port knocking for implementada para autorizar conexões originadas da Internet, será informada a interface correspondente a conexão de Internet, por
exemplo, eth0.

O script de instalação questionará se você deseja utilizar um endereço de e-mail diferente para que alertas sejam enviados a ele, neste tutorial desconsiderarei o envio de alertas por e-mail, portanto você poderá responder com ‘n’.

Em seguida o script questionará se desejamos que o FWKnop seja inicializado durante o carregamento do sistema, pressione ENTER novamente.

Realizando testes de funcionalidades

O FWKnop possui um script em Perl que realiza uma série de testes, neste caso, 317 testes onde são verificados o uso de algoritmos de criptografia, protocolos diferentes para envio do SPA, utilização de método de autenticação através do GnuGPG, e claro,
inserção/remoção de regras nas chains do NetFilter/IPtables.

A existência de determinados erros não significará necessariamente que o FWKnop não funcione, mas a ocorrência de êxito em todos é garantia de que todos os recursos estarão funcionais e disponíveis para uso.

É normal que ocorra uma falha durante o teste de número 7, pois o script tentará executar o daemon do FWKnop, e o mesmo irá apenas gerar um alerta devido o arquivo de configuração /etc/fwknop/access.conf possuir a chave padrão (KEY: __CHANGEME__) para
criptografia simétrica.

Abra o diretório test contido no diretório criado durante a descompactação do FWKnop e execute o script fwknop_test.pl. O conjunto de testes irá demorar um pouco:

# cd /usr/local/src/fwknop-1.9.12/test
# ./fwknop_test.pl

Sobre o Autor

Redes Sociais:

Deixe seu comentário

X