Académique Documents
Professionnel Documents
Culture Documents
Contedo
Plano de segurana Proteo de servios Servios e procedimentos seguros Autenticao Confiana Integridade Autorizao Acesso Auditoria Protegendo Backups
Introduo
Introduo
Identificar o que est tentando proteger; Determinar o que est tentando se proteger; Determina o quanto provvel so as ameaas; Implementar as medidas de proteo dos recursos importantes de maneira efetiva; Revisar o processo continuamente e fazer melhorias cada vez que uma fraqueza for encontrada.
Provrbio...
Provrbio
o custo de se proteger contra uma ameaa deve ser menor que o custo da recuperao se a ameaa o atingir expressadas em moeda corrente real; reputao; confiana e outras medidas menos bvias.
Sem conhecimento razovel do que est protegendo e o que so as ameaas provveis, proteger sua rede pode ser impossvel.
Discusso Geral
Pode parecer bvio, mas possvel se enganar sobre onde os esforos so necessrios.
Anlise do risco
preciso determinar
o voc precisa proteger, do que voc precisa proteger, e como proteger. examinar todos os riscos, e orden-los por nvel de severidade.
Deve-se
Identificando os recursos
Para anlise de risco, necessrio identificar tudo que precisa ser protegido Algumas categorias so:
Hardware: CPUs, teclados, estaes de trabalho, discos; Software: programas fonte e objeto, utilitrios, programas de diagnstico, sistemas operacionais e programas de comunicao; Dados: durante execuo, armazenados on-line e off-line, backups, logs; Pessoas: usurios, administradores e suporte de hardware. Documentao: programas, hardware, sistemas, local, procedimentos administrativos. Materiais: papel, formulrios, fitas e mdia magntica.
Identificando as ameaas
Identificando os recursos, torna-se necessrio identificar as ameaas a esses recursos As ameaas podem ser examinadas para determinar o potencial de perda existente Dentre as ameaas, encontram-se:
Acesso sem autorizao a informaes e/ou recursos Revelao de informao sem inteno e/ou sem autorizao Denial of Service
Polticas de Segurana
quo segura ou insegura a sua rede, quantas funcionalidades ela ir oferecer, e qual ser a facilidade de utiliz-la.
Para tomar boas decises sobre segurana, necessita-se determinar quais so as metas de segurana No poder utilizar qualquer coleo de ferramentas de segurana enquanto no souber o que checar e quais restries impor
Polticas de Segurana
Cada servio oferecido para os usurios carrega seu prprios riscos de segurana. Para alguns servios, o risco superior que o benefcio do mesmo, optando-se por eliminar o servio ao invs de tentar torn-lo menos inseguro. O sistema mais fcil de usar deveria permitir acesso a qualquer usurio e no exigir senha, ou seja, sem segurana. Solicitar senhas torna o sistema um pouco menos conveniente, mas mais seguro. Requerer senhas de momento geradas por dispositivos, torna o sistema ainda mais difcil de utilizar, mas bastante mais seguro.
Polticas de Segurana
monetrio (o custo da aquisio de hardware e software como firewalls, e geradores de senha de momento), performance (tempo cifragem e decifragem), e facilidade de uso. perda de privacidade (a leitura de uma informao por indivduos no autorizados), perda de dados (corrupo ou deleo de informaes), e a perda de servios (ocupar todo o espao disponvel em disco, impossibilidade de acesso rede).
Nveis de risco:
Polticas de Segurana
Conjunto de regras de segurana que regem sobre a rede de computadores Devem ser comunicadas a todos os usurios, pessoal operacional e gerentes da empresa
Uma poltica de segurana a expresso formal das regras pelas quais fornecido acesso aos recursos tecnolgicos da empresa.
Propsitos...
Informar aos usurios, equipe e gerentes, as suas obrigaes para a proteo da tecnologia e do acesso informao Especificar os mecanismos atravs dos quais estes requisitos podem ser alcanados. Oferecer um ponto de referncia, a partir do qual se possa
adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos.
Uma poltica de uso apropriado (Appropriate - ou Acceptable - Use Policy AUP) pode tambm ser parte de uma poltica de segurana
Ela deveria expressar o que os usurios devem e no devem fazer, incluindo o tipo de trfego permitido nas redes Deve ser explcita, evitando ambigidades e maus entendimentos
Para que uma poltica de segurana se torne apropriada e efetiva, ela deve ter a aceitao e o suporte de todos os nveis de empregados dentro da organizao.
Deve envolver:
O administrador de segurana do site O pessoal tcnico de tecnologia da informao Os Administradores de grandes grupos de usurios dentro da organizao A equipe de reao a incidentes de segurana Os Representantes de grupos de usurios afetados pela poltica de segurana O Conselho Legal
procedimentos de administrao, publicao das regras de uso aceitveis, ou outros mtodos apropriados. ferramentas de segurana, onde apropriado, e sanes onde a preveno efetiva no seja tecnicamente possvel.
Ela deve definir claramente as reas de responsabilidade para os usurios, administradores e gerentes.
Seus Componentes:
Guias para a compra de tecnologia computacional que especifiquem os requisitos ou caractersticas que os produtos devem possuir. Uma poltica de privacidade que defina
expectativas razoveis de privacidade relacionadas a aspectos como a monitorao de correio eletrnico, logs de atividades, e acesso aos arquivos dos usurios.
Uma poltica de acesso que defina os direitos e os privilgios para proteger a organizao de danos, atravs da especificao de linhas de conduta dos usurios, pessoal e gerentes.
Seus Componentes:
uma poltica de senhas efetiva e atravs da linha de conduta para autenticao de acessos remotos e o uso de dispositivos de autenticao.
Um documento de disponibilidade que define as expectativas dos usurios para a disponibilidade de recursos
endereando aspectos como redundncia e recuperao, especificando horrios de operao e de manuteno, com informaes para contato para relatar falhas de sistema e de rede.
Um sistema de tecnologia de informao e poltica de manuteno de rede que descreva como tanto o pessoal de manuteno interno como externo devem manipular e acessar a tecnologia Uma poltica de relatrio de violaes que indique quais os tipos de violaes devem ser relatados e a quem estes relatos devem ser feitos
Suporte a informao
que oferea aos usurios informaes para contato para cada tipo de violao Linha de conduta sobre como gerenciar consultas externas sobre um incidente de segurana Referncias cruzadas para procedimentos de segurana e informaes relacionadas
Uma poltica deve ser largamente independente de hardware e softwares especficos Os mecanismos para a atualizao da poltica devem estar claros Deve-se explicitar o processo e as pessoas envolvidas na atualizao da poltica
Arquitetura
Separao de Servios Bloquear tudo / Permitir tudo Identificao das Reais Necessidades de Servios
de mais alto nvel projetado como um framework de objetivos amplos nos quais polticas especficas se enquadraro.
Plano de Segurana
a lista de servios de rede que sero providos; quais reas da organizao provero os servios; quem ter acesso aos servios; como o acesso ser provido; quem administrar esses servios; Como os incidentes sero tratados; etc.
Separao de Servios
Isolar os servios em hosts dedicados; nveis diferentes de acesso e modelos de confiana distinguir entre hosts que operam em diferentes modelos e confiana Se possvel, cada servio deve estar sendo executado em mquinas diferentes que tm como o nico objetivo prover aquele servio
Existem 2 filosofias diametricamente opostas que podem ser adotadas quando se define um plano de segurana Ambas as alternativas so modelos legtimos a se adotar A escolha entre uma ou outra depende do local e suas necessidades de segurana
A primeira opo :
Isto pode ser feito no nvel de host ou rede mais seguro do que o outro Porm, a configurao requer mais trabalho e compreenso dos servios
A segunda opo :
mais fcil de implementar menos segura que a outra Simplesmente ligar todos os servios (a nvel de host) e permitir a todos os protocolos que trafeguem na rede (a nvel de roteador) Os buracos de segurana ficam aparentes no host ou rede
Pode-se usar "permitir tudo" quando se trata de estaes de uso geral, mas "bloquear tudo" quando se trata de servidores de informaes, como servidores de email Pode-se tambm "permitir tudo" para o trfego entre subredes internas, mas "bloquear tudo" para comunicao com a Internet.
Novos servios disponibilizados Deve-se avaliar cada novo servio em relao sua necessidade real Geralmente, mais servios, mais insegurana
Protegendo a Infra-estrutura
Mas um ataque comum nos dados da rede a procura por senhas de logins alheios
A infra-estrutura tambm pede proteo dos erros humanos Quando um administrador no configura bem um host, ele pode oferecer um mau servio
Proteo da Rede
Existem muitos ataques nos quais as redes se tornam vulnerveis O ataque clssico o "denial of service"
a rede levada a um estado no qual no consegue mais transmitir dados de usurios legtimos H duas maneiras de como isso pode ser feito:
Proteo diferenciada dos servios fornecidos no host Utilizao de Intranet Proteo de acesso annimo, ou guest Acessos isolados de hosts e sistemas de arquivos que no devem ser vistos por usurios externos. Acesso annimo com permisso de escrita
Proteo de Servios
Servidores de Nomes (DNS e NIS(+)) Servidores de Senha/Chave (NIS(+) e KDC) Servidores de Autenticao/Proxy (SOCKS, FWTK) Correio Eletrnico World Wide Web (WWW) Transferncia de Arquivo (FTP, TFTP) NFS
Arquitetura
Autenticao
Senhas de Acesso nico Kerberos Escolhendo e Protegendo Tokens e Indentificadores Pessoais Numricos Secretos Garantia da Senha
Senhas robustas Troca de senhas padro Restringindo acesso ao arquivo de senhas Envelhecimento de Senhas Bloqueio de contas e senhas
Confidencialidade
Guardar grandes segredos da empresa Informaes destrudas ou alteradas Conseguir acessar externamente e seguramente as informaes importantes de uma empresa
Integridade
Disponibilidade
Confidencialidade
Proteger da revelao entidades no autorizadas Proteo de arquivos atravs de permisses Utilizao de criptografia
Integridade
Prover alguma garantia sobre a integridade da informao em seus sistemas Realizar checksum de arquivos e manter offline Alguns sums no so de confiana
Autorizao
Conceder privilgios para processos e, em ltima anlise, para usurios Uma vez identificados (seguramente), os privilgios, direitos, propriedade e aes permissveis do usurio so determinados atravs da autorizao Uma abordagem, popularizada em sistemas de UNIX, associar a cada objeto trs classes de usurio: proprietrio, grupo e mundo Outra forma atravs de Lista de Controle de Acesso (ACL)
Acesso
Acesso Fsico Conexes de Rede Wireless Outras Tecnologias de Rede com comutao Modems
Linhas gerenciadas Usurios de discagem autenticados Capacidade de chamada reversa Logins registrados no log
Acesso
Modems
Acesso Fsico
Restringir o acesso fsico aos hosts, permitindo acesso somente a aquelas pessoas que devem us-los Manter cpias originais e backup de programas e dados seguras
Alm de mant-las em boas condies para fins de backup, elas devem ser protegidas contra furtos Certificar que no causaro problemas se um computador porttil de seu pessoal for roubado espcies de dados permitidos em discos de computadores portteis e maneira pela qual os dados devem ser protegidos
Hosts portteis
Permite a qualquer usurio conectar um host no autorizado a sua rede Poltica de autenticao Fornecer o servio somente em locais necessrios Warchalking
Modems
No permite aos usurios instalar uma linha de modem sem uma autorizao apropriada Tenha um registro de todas as suas linhas de modem e mantenha-o atualizado
Modems
A verificao do cdigo de usurio e da senha antes que o usurio possa ter acesso a qualquer coisa na sua rede Estabelecer um intervalo curto aps o primeiro e o segundo "login" falho, e force uma desconexo aps o terceiro
Modems
Alguns servidores "dial-in" oferecem facilidades de chamada reversa o usurio disca e autenticado, ento o sistema desconecta a chamada e chama de volta no nmero especfico do usurio
Modems
todos os logins bem-sucedidos ou no deveriam ser registrados no log no guardar senhas corretas no log registre-as como uma simples tentativa de login bem-sucedida
Modems
Muitos locais usam um "default" do sistema contido em um arquivo de mensagem do dia para seu "banner" de abertura Infelizmente, isto frequentemente inclui o tipo de hardware e sistema operacional do host Isto pode fornecer informaes valiosas para um possvel intruso O Ideal um banner curto e sem nomes convidativos
Modems
Autenticao "Dial-Out"
Usurios "dial-out" deveriam ser autenticados particularmente porque seu local ter de pagar pelas despesas telefnicas
Jamais permitir a discagem de sada a partir de uma chamada de entrada no autenticada Estabelecer se ser permitida a discagem de sada partir de uma entrada autenticada
Modems
Configurao Eficaz
Certificar que os modems no podem ser reprogramados enquanto estiverem em servio O ideal programa os modems para "resetarem" sua configurao padro no incio de cada chamada
Auditoria
O que coletar
Processo de Coleta
O que coletar
Incluir qualquer tentativa de obter um nvel de segurana diferente por qualquer pessoa, processo, ou outra entidade da rede
"login" e "logout" acesso de super-usurio qualquer outra mudana de acesso ou estado especialmente importante notar o acesso "anonymous" ou "guest" a servidores pblicos
Processo de Coleta
Ordenado pelo host ou recurso sendo acessado Manter os dados localmente ou em outros hosts Trs formas de armazenar registros de auditoria:
em um arquivo de leitura e escrita em um host, em um dispositivo do tipo escreva uma vez, leia vrias em um dispositivo somente de escrita
Deve-se tornar seguro o caminho entre o dispositivo que gera o registro e o que realmente armazena o registro Se o caminho est comprometido, o registro pode ser parado, ou adulterado, ou ambos
Carga da Coleta
Deve-se considerar a disponibilidade de armazenamento para os dados coletados Compactao de dados Armazenamento de dados durante um perodo de tempo Apagar logs antigos
Devem estar entre aqueles mais protegidos no local e nos backups Se um intruso tiver acesso aos registros de auditoria, no s os dados, mas tambm os prprios sistemas correriam riscos Dados de auditoria podem tambm se tornar chaves para a investigao, apreenso e acusao do autor de um incidente Estabelecimento de manipulao dos dados pela equipe jurdica
Consideraes Legais
ateno da sua equipe jurdica deve-se preparar para as conseqncias resultantes tanto da sua existncia como do seu contedo
Protegendo Backups
Certificar que os backups esto sendo criados Certificar que est utilizando armazenamento secundrio para os backups
Criptografar os backups para proporcionar proteo No assumir que os backups sempre esto bons Periodicamente verifique a correo e a completude de seus backups.
Se a brecha o resultado de
um ataque de intruso externo, dano no intencional, um estudante testando algum programa novo para explorar uma vulnerabilidade de software, ou um empregado com ms intenses
Deve-se reagir conforme o plano, que j deveria ter sido previsto com antecedncia
Estar preparado para responder a um incidente antes dele acontecer Preparar diretrizes de tratamento de incidentes como parte de um plano de contingncia para sua organizao ou site
proteger os recursos que poderiam ser comprometidos proteger os recursos que poderiam ser utilizados mais eficientemente se um incidente no requeresse seus servios seguir os regulamentos (do governo ou outros) prevenir o uso de seus sistemas em ataques contra outros sistemas (que poderia implicar em obrigaes legais) minimizar o potencial para exposio negativa
descobrir como aconteceu descobrir como evitar explorao adicional da mesma vulnerabilidade evitar a expanso e incidentes adicionais avaliar o impacto e dano do incidente recuperar-se do incidente atualizar polticas e procedimentos conforme necessrio descobrir quem fez isto (se apropriado e possvel)
importante priorizar as aes a serem tomadas durante um incidente com bastante antecedncia antes do incidente acontecer Sugestes de prioridade so:
1. proteger vida humana e segurana das pessoas
vida humana sempre tem precedncia sobre outras consideraes
Agncias de Investigao e de Execuo da Lei Grupos de Tratamento de Incidentes de Segurana de Computadores Sites Afetados e Envolvidos Comunicaes internas Relaes pblicas - Press Releases
Relaes Pblicas
manter o nvel de detalhes tcnicos baixo manter a especulao fora de declaraes de imprensa trabalhar com profissionais da lei para assegurar que a evidncia protegida no dar uma entrevista de imprensa antes de estar preparado no permitir que a ateno de imprensa diminua o tratamento do evento
Identificando um Incidente
O Incidente Real?
Esta fase envolve determinar se um problema realmente existe Naturalmente muitos so anomalias tal como falhas de hardware ou comportamento de suspeito de sistema/usurio H sintomas que merecem mais ateno
Sintomas
Quedas (Crashes) de sistemas. Novas contas de usurio (a conta sysadmin2 foi criada inesperadamente), ou atividade alta em uma conta previamente pouco usada. arquivos novos (normalmente com nomes de arquivo estranhos) discrepncias de contabilidade (ex: lastlog) mudanas em tamanho ou data de arquivo tentativas de escrever em pastas de sistema modificao de dados ou apagamento
Sintomas
negao de servio (usurios impedidos de entrar no sistema) desempenho de sistema inexplicavelmente baixo anomalias (mensagens no monitor e inexplicveis "beeps") numerosas tentativas de login sem sucesso de outro nodo algum se torna um usurio root em um sistema UNIX e acessa arquivos arquivo aps arquivo em contas de muitos usurios inabilidade de um usurio para se logar devido a modificaes em sua conta. Estes so apenas alguns dos sintomas maliciosos
Avaliao do mbito e impacto do problema importante identificar os limites do incidente corretamente para
lidar efetivamente e priorizar respostas este um incidente multi-site? muitos computadores foram afetados? a imprensa est envolvida?
mas deve conduzir a alguma idia sobre a natureza do incidente e ajudar na investigao e prossecuo
Assim que a brecha tenha acontecido, o sistema inteiro e todos seus componentes devem ser considerado suspeitos
Deve-se verificar
Tratando um Incidente
Tipos de Notificao e Troca de Informao Protegendo as Evidncias e Logs de Atividade Reteno Erradicao Recuperao Acompanhamento
Tratando um Incidente
Seguir polticas existentes para no perder o enfoque Restabelecer controle dos sistemas afetados e limitar o impacto e dano
No pior caso, fechando o sistema, ou desconectando o sistema da rede danos reais podem acontecer devido a demoras ou a informaes perdidas
O pessoal apropriado deve ser notificado As circunstncias devem ser descritas em tantos detalhes quanto possvel
A escolha da fala usada quando notificar as pessoas sobre o incidente pode ter um efeito profundo no modo que informao recebida
Quando voc usa termos emocionais ou inflamatrios, voc eleva o potencial para dano e resultados negativos do incidente importante permanecer tranqilo ambos as comunicaes escrita e falada
Deve-se documentar todos os detalhes relacionados ao incidente Isto prover valiosa informao para desvendar o curso dos eventos Detalhes armazenados tambm provero evidncias para esforos de prossecuo e provero os movimentos naquela direo
registros de auditoria tempo usado inclusive a pessoa com quem falou, a data e tempo, e o contedo da conversa
O modo mais direto para manter documentao mantendo um livro de log Seguindo, por exemplo, os passos
Fazer cpias rotineiras assinadas de seus logs para um administrador de documentos O administrador deve armazenar estas pginas copiadas em um lugar seguro Ao submeter a informao para armazenamento, um recibo datado e assinado pelo administrador do documento deve ser emitido
Reteno
O propsito de reteno limitar a extenso de um ataque Uma parte essencial de reteno deciso do que fazer
por exemplo: determinando desligar um sistema; desconectar da rede; monitorar sistemas ou atividades de rede; etc.
A organizao ou site deve, por exemplo, definir riscos aceitveis lidando com um incidente
estabelecendo aes especficas e estratgias adequadas; Isso importante quando uma deciso rpida necessria.
Erradicao
Uma vez que o incidente foi contido, tempo para erradicar a causa Softwares podem estar disponveis para ajudar no processo de erradicao Deve-se tomar cuidado com os backups, pois pode existir uma cpia dos problemas Depois de erradicao, deveria ser feito um novo backup
Erradicao
Removendo todas as vulnerabilidades uma vez um incidente aconteceu difcil A chave para remover vulnerabilidades conhecimento e entendimento da brecha atacada Pode ser necessrio voltar para as mdia de distribuio originais e r-customizar o sistema
Recuperao
Uma vez que a causa de um incidente foi erradicada, a fase de recuperao define a prxima fase de ao A meta de recuperao retornar o sistema ao normal Em geral, expondo servios na ordem de demanda
Acompanhamento
Uma vez que voc acredita que o sistema foi restabelecido a um "estado seguro", ainda possvel que buracos, e at mesmo armadilhas Uma das fases mais importantes de respostas a incidentes a fase de acompanhamento
Resultados de um Incidente
Criao de um inventrio dos recursos dos sistemas Criar um novo plano de segurana revisado com as lies aprendidas para impedir o incidente de racontecer Desenvolver uma anlise de risco nova levando em conta o incidente Uma investigao e prossecuo dos indivduos que causaram o incidente, se julgada desejvel
Responsabilidades
Proteja a sua prpria rede e no as dos outros partir do conhecimento, voc conhecer a falha de outras redes No caia na tentao de fazer como seu intruso
Endereos interessantes
Ferramentas de Monitoramento
http://tools.netsa.cert.org/
Cartilha do CERT
http://cartilha.cert.br/download/
Apostila CERT
http://www.cert.br/docs/seg-adm-redes/