Na era digital, manter a privacidade e segurança online é mais crucial do que nunca. Uma das maneiras de proteger a sua identidade e dados na rede é através do uso de um servidor proxy SOCKS. Este tipo de proxy atua como um intermediário entre o seu dispositivo e a internet, ocultando o seu endereço IP real e cifrando o seu tráfego de internet. Neste artigo, vamos guiá-lo passo a passo sobre como configurar o seu próprio servidor proxy SOCKS no Ubuntu utilizando o Dante, um servidor proxy versátil e de alto desempenho.

Iniciando a instalação do Dante

Antes de mergulharmos na configuração do Dante, é essencial preparar o seu sistema e garantir que está atualizado. Para isso, abra um terminal e execute os seguintes comandos:

sudo apt update
sudo apt install dante-server

Estes comandos irão atualizar a lista de pacotes do seu sistema e depois instalar o Dante, respectivamente.

Configuração do ficheiro danted.conf

Uma vez instalado o Dante, o próximo passo é configurar o servidor proxy. Isto é feito editando o ficheiro de configuração danted.conf localizado em /etc/danted/. Para isso, use o seu editor de texto preferido. Aqui, vamos usar o vim:

vim /etc/danted.conf

Dentro deste ficheiro, deve especificar detalhes cruciais como as interfaces externa e interna, o método de autenticação e as regras de acesso. A seguir, mostramos uma configuração exemplo que pode ajustar de acordo com as suas necessidades:

logoutput: syslog
user.privileged: root
user.unprivileged: nobody

# A interface externa (pode ser o seu endereço IP público ou o nome da interface)
external: eth0

# A interface interna (geralmente o endereço IP do seu servidor ou loopback)
internal: 0.0.0.0 port=1080

# Método de autenticação
socksmethod: username

# Regras de acesso
client pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    log: connect disconnect error
}

# Quem pode utilizar este proxy
socks pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    command: bind connect udpassociate
    log: connect disconnect error
    socksmethod: username
}

Esta configuração define um servidor SOCKS que escuta em todas as interfaces disponíveis (0.0.0.0) na porta 1080. Utiliza autenticação por nome de utilizador e permite conexões de e para qualquer endereço.

Criação de um utilizador para o proxy

Para que o proxy seja seguro e não esteja aberto ao público, é necessário criar um utilizador específico para a conexão. Isto é conseguido com os seguintes comandos:

sudo useradd -r -s /bin/false nome_utilizador
sudo passwd nome_utilizador

Aqui, nome_utilizador é o nome de utilizador que deseja para a conexão ao proxy. O comando useradd cria o utilizador, e passwd permite-lhe atribuir uma palavra-passe.

Reiniciar e habilitar o serviço Dante

Com o utilizador criado e o ficheiro de configuração ajustado, é momento de reiniciar o serviço Dante e garantir que ele se execute ao início do sistema:

sudo systemctl restart danted.service
sudo systemctl enable danted.service
sudo systemctl status danted.service

Além disso, é importante garantir que a porta 1080, que é onde escuta o proxy, esteja permitida no firewall:

sudo ufw allow 1080/tcp

Verificação da conexão

Finalmente, para verificar se tudo está a funcionar corretamente, pode testar a conexão através do proxy com o seguinte comando:

curl -v -x socks5://nome_utilizador:password@seu_ip_do_servidor:1080 https://qualemeuip.com/

Lembre-se de substituir nome_utilizador, password e seu_ip_do_servidor com as suas informações específicas. Este comando utilizará o seu servidor proxy para aceder a um website que mostra o seu endereço IP público, verificando assim que o tráfego está realmente a ser redirecionado através do proxy SOCKS.

Configurar um servidor proxy SOCKS com Dante pode parecer complexo ao início, mas seguindo estes passos, poderá ter um sistema poderoso

Pode configurar um servidor proxy SOCKS5 utilizando OpenSSH no Ubuntu 22.04, o que é uma alternativa mais simples e direta em certos casos, especialmente para uso pessoal ou em situações onde já tem um servidor SSH configurado. A seguir, explico como fazê-lo:

Criar um proxy Socks 5 com OpenSSH

Ao contrário do Dante, com o qual podemos criar um serviço de proxy com autenticação, com OpenSSH, podemos criar um túnel numa porta que pode ser utilizado como proxy socks sem autenticação, pelo que é conveniente utilizá-lo apenas para localhost dentro de um único equipamento (explicaremos isto melhor depois)

Instalação do OpenSSH Server

Se ainda não tem o OpenSSH Server instalado no seu servidor que vai fazer de proxy, pode instalá-lo com o seguinte comando, desde que seja uma distribuição baseada em Debian / Ubuntu:

sudo apt update
sudo apt install openssh-server

Certifique-se de que o serviço está ativo e a executar corretamente com:

sudo systemctl status ssh

Configuração do Servidor SSH (Opcional)

Por defeito, o OpenSSH escuta na porta 22. Pode ajustar configurações adicionais editando o ficheiro /etc/ssh/sshd_config, como alterar a porta, restringir o acesso a certos utilizadores, etc. Se realizar alterações, lembre-se de reiniciar o serviço SSH:

sudo systemctl restart ssh

Utilização do SSH como um Proxy SOCKS5

Para configurar um túnel SSH que funcione como um proxy SOCKS5, utilize o seguinte comando a partir do seu cliente (não no servidor). Este comando estabelece um túnel SSH que escuta localmente na sua máquina na porta especificada (por exemplo, 1080) e redireciona o tráfego através do servidor SSH:

ssh -D 1080 -C -q -N utilizador@endereço_servidor

• -D 1080 especifica que o SSH deve criar um proxy SOCKS5 na porta local 1080.
• -C comprime os dados antes de enviar.
• -q habilita o modo silencioso que minimiza as mensagens de log.
• -N indica que não sejam executados comandos remotos, útil quando apenas deseja estabelecer o túnel.
• utilizador é o seu nome de utilizador no servidor SSH.
• endereço_servidor é o endereço IP ou domínio do seu servidor SSH.

Neste ponto, mencionamos que com a opção -D deve-se indicar apenas a porta, pois se expor a porta a toda a rede pode permitir que outros equipamentos da rede utilizem este proxy sem autenticação:

[ger@ger-pc ~]$ ssh -D 0.0.0.0:1081 root@192.168.54.100

Se verificarmos com o comando ss ou netstat, podemos ver que está a escutar em todas as redes:

[ger@ger-pc ~]$ ss -putan|grep 1081
tcp LISTEN 0 128 0.0.0.0:1081 0.0.0.0:* users:(("ssh",pid=292405,fd=4)) 
[ger@ger-pc ~]$

No entanto, se conectarmos especificando apenas a porta sem 0.0.0.0 ou sem qualquer IP, o fará apenas no localhost:

[ger@ger-pc ~]$ ssh -D 1081 root@192.168.54.100

.......

[ger@ger-pc ~]$ ss -putan|grep 1081
tcp LISTEN 0 128 127.0.0.1:1081 0.0.0.0:* users:(("ssh",pid=292485,fd=5)) 
tcp LISTEN 0 128 [::1]:1081 [::]:* users:(("ssh",pid=292485,fd=4)) 
[ger@ger-pc ~]$

Conexão através do Proxy SOCKS5:

Agora pode configurar o seu navegador ou aplicação para utilizar o proxy SOCKS5 no localhost e na porta 1080. Cada aplicação tem uma maneira diferente de configurar isto, por isso, precisará rever as preferências ou a documentação da aplicação.

Automatização da Conexão (Opcional):
Se precisar que o túnel se estabeleça automaticamente ao início ou sem interação manual, pode considerar utilizar uma ferramenta como autossh para manter a conexão do túnel aberta e reconectar em caso de queda.

Esta é uma forma eficaz de estabelecer um proxy SOCKS5 rápido para um utilizador ou alguns utilizadores, especialmente útil para contornar restrições de rede ou proteger o seu tráfego em redes não confiáveis. A principal vantagem deste método é a sua simplicidade e que aproveita a infraestrutura SSH existente, sem necessidade de configurar software adicional no servidor.

La entrada Criar proxy socks com dante e com openssh se publicó primero en Aprende IT.

Mergulhando no mundo do Subnetting

Antes de entrar em detalhe, deves saber o que é o subnetting. É um processo que divide uma rede IP em redes mais pequenas, ou sub-redes. Este processo permite-nos gerir melhor o nosso espaço de endereços IP, proporcionando-nos mais flexibilidade e controlo sobre a nossa rede.

Neste processo, usamos algo conhecido como “máscara de rede”. Uma máscara de rede é uma sequência de números que define quantos hosts podem estar numa rede. Por exemplo, uma máscara de rede comum é 255.255.255.0, que permite até 254 hosts numa rede.

Mas, como fazemos o subnetting? Vamos ver rapidamente. Precisamos de levar em conta o Classless Inter-Domain Routing (CIDR), que nos permite definir o comprimento da máscara de rede. Se partirmos de uma rede /24 (equivalente a 255.255.255.0), e quisermos dividi-la em sub-redes menores, podemos optar por uma máscara /25. Isso dar-nos-ia duas sub-redes, cada uma com capacidade para 126 hosts.

Para realizar o subnetting, primeiro decidimos quantas sub-redes precisamos e quantos hosts queremos em cada uma. Depois, ajustamos a nossa máscara de rede em conformidade. E pronto! Já segmentamos a nossa rede.

VLANs: O teu novo aliado na rede

Depois de esclarecer o subnetting, é hora de falar sobre as VLANs ou Virtual Local Area Networks. As VLANs são basicamente “sub-redes virtuais” que agrupam diferentes hosts, independentemente da sua localização física na rede.

Existem dois tipos de VLANs que deves conhecer: tagged e untagged. Numa VLAN tagged, os pacotes de dados carregam uma etiqueta que identifica a qual VLAN pertencem. Isto permite que pacotes de diferentes VLANs coexistam no mesmo quadro de rede. Por outro lado, numa VLAN untagged, os pacotes não carregam etiquetas. Portanto, só podem pertencer a uma VLAN de cada vez.

Além disso, existem dois modos de links de VLAN: acesso e tronco. Um link de acesso é aquele que liga um dispositivo final (como o teu computador) à rede. Este link só pode pertencer a uma VLAN de cada vez e geralmente é configurado como uma VLAN untagged. Por outro lado, os links de tronco são aqueles que ligam switches entre si e permitem a passagem de pacotes de várias VLANs, ou seja, são tagged.

VLANs e segurança: Um duo dinâmico

As VLANs trazem uma série de vantagens de segurança que as tornam um recurso muito valioso. Ao segmentares a tua rede em diferentes VLANs, estás a isolar a comunicação entre os diferentes segmentos da tua rede. Isto significa que, se um intruso conseguir aceder à tua rede, a sua capacidade de se mover e aceder a diferentes recursos estará limitada.

Além disso, as VLANs permitem-te implementar políticas de segurança ao nível da rede de forma mais precisa. Podes configurar firewalls, listas de controlo de acesso e outras medidas de segurança ao nível de cada VLAN. Isto dá-te um grande controlo sobre quem pode fazer o quê e onde na tua rede.

Subnetting e VLANs: Uma combinação vencedora

Chegados a este ponto, deves estar a perguntar-te: por que não é boa ideia fazer subnetting na mesma VLAN? Bem, embora possa parecer uma boa ideia à primeira vista, fazer subnetting dentro da mesma VLAN pode levar a problemas de desempenho da rede.

A razão é que as VLANs e as sub-redes operam em diferentes níveis do modelo OSI. Enquanto as sub-redes trabalham na camada 3 (a camada de rede), as VLANs operam na camada 2 (a camada de ligação de dados). Isto significa que, mesmo que estejas a segmentar a tua rede ao nível de IP com o subnetting, todos os pacotes ainda têm que passar pela mesma VLAN. Isto pode criar gargalos e diminuir o desempenho da tua rede.

Por isso, a abordagem mais eficiente é combinar VLANs e subnetting. Desta forma, cada VLAN tem a sua própria sub-rede, o que evita problemas de desempenho e proporciona um maior isolamento e segurança entre as diferentes partes da tua rede. Além disso, dá-te mais flexibilidade para gerir e escalar a tua rede de acordo com as tuas necessidades.

Em resumo, tanto o subnetting como as VLANs são ferramentas valiosas para qualquer profissional de redes. Ao combiná-las correctamente, podes conseguir uma rede mais eficiente, segura e fácil de gerir. Espero que este post te tenha ajudado a esclarecer as tuas dúvidas. Queres saber mais sobre algum outro tema de redes? Deixa as tuas sugestões nos comentários. Vemo-nos no próximo post!

La entrada Melhorando a eficiência das redes: Explorando as sinergias do Subnetting e VLANs se publicó primero en Aprende IT.

UTM Security with Fortinet: Mastering FortiOS

Desde 44.67€

Ver en Amazon

Easy Guide: Fortinet Certified Network Security Administrator: Questions and Answers

Desde 12.27€

Ver en Amazon

Fortinet NSE 4 FortiOS 6.2 Network Security Professional NSE4_FGT-6.2: Actual Exam Questions and Answers

Desde 20.79€

Ver en Amazon

La entrada Top 25 comandos de utilidade fortinet se publicó primero en Aprende IT.