Académique Documents
Professionnel Documents
Culture Documents
Verso para Impresso (PDF) Verso 1.2 16 de maio de 2003 Copyright NBSO
Sumrio
1. Introduo o 1.1. Organizao do Documento o 1.2. Como Obter este Documento o 1.3. Nota de Copyright e Distribuio 2. Polticas o 2.1. Polticas de Segurana o 2.2. Polticas de Uso Aceitvel 3. Instalao e Configurao Segura de Sistemas o 3.1. Preparao da Instalao o 3.2. Estratgias de Particionamento o 3.3. Documentao da Instalao e Configurao o 3.4. Senhas de Administrador o 3.5. Instalao Mnima o 3.6. Desativao de Servios No Utilizados o 3.7. Instalao de Correes o 3.8. Preveno de Abuso de Recursos 3.8.1. Controle de Relay em Servidores SMTP 3.8.2. Controle de Acesso a Proxies Web 4. Administrao e Operao Segura de Redes e Sistemas o 4.1. Educao dos Usurios o 4.2. Ajuste do Relgio 4.2.1. Sincronizao de Relgios 4.2.2. Timezone o 4.3. Equipes de Administradores 4.3.1. Comunicao Eficiente 4.3.2. Controle de Alteraes na Configurao 4.3.3. Uso de Contas Privilegiadas o 4.4. Logs 4.4.1. Gerao de Logs 4.4.2. Armazenamento de Logs 4.4.3. Monitoramento de Logs o 4.5. DNS 4.5.1. Limitao de Transferncias de Zona 4.5.2. Separao de Servidores 4.5.3. Uso de Privilgios Mnimos 4.5.4. Cuidado com Informaes Sensveis no DNS 4.5.5. DNS Reverso o 4.6. Informaes de Contato 4.6.1. Endereos Eletrnicos Padro 4.6.2. Contato no DNS 4.6.3. Contatos no WHOIS o 4.7. Eliminao de Protocolos sem Criptografia o 4.8. Cuidados com Redes Reservadas o 4.9. Polticas de Backup e Restaurao de Sistemas o 4.10. Como Manter-se Informado o 4.11. Precaues contra Engenharia Social
4.12. Uso Eficaz de Firewalls 4.12.1. A Escolha de um Firewall 4.12.2. Localizao dos Firewalls 4.12.3. Critrios de Filtragem 4.12.4. Exemplos o 4.13. Redes Wireless 4.13.1. Poltica de Uso da Rede Wireless 4.13.2. Topologia 4.13.3. Criptografia e Autenticao 4.13.4. Access Points 4.13.5. Proteo aos Clientes Wireless 4.13.6. Monitorao da Rede Wireless A. Referncias Adicionais o A.1. URLs de Interesse o A.2. Livros o
[ Sumrio ]
1. Introduo
Este documento procura reunir um conjunto de boas prticas em configurao, administrao e operao segura de redes conectadas Internet. A implantao destas prticas minimiza as chances de ocorrerem problemas de segurana e facilita a administrao das redes e recursos de forma segura. importante frisar que este conjunto representa o mnimo indispensvel dentro de um grande universo de boas prticas de segurana, o que equivale a dizer que a sua adoo um bom comeo mas no necessariamente suficiente em todas as situaes. As recomendaes apresentadas so eminentemente prticas e, tanto quanto possvel, independentes de plataforma de software e hardware. A maioria dos princpios aqui expostos genrica; a sua efetiva aplicao requer que um administrador determine como estes princpios podem ser implementados nas plataformas que ele utiliza. Este documento dirigido ao pessoal tcnico de redes conectadas Internet, especialmente aos administradores de redes, sistemas e/ou segurana, que so os responsveis pelo planejamento, implementao ou operao de redes e sistemas. Tambm podem se beneficiar da sua leitura gerentes com conhecimento tcnico de redes.
1.
permitido fazer e distribuir cpias inalteradas deste documento, completo ou em partes, contanto que esta nota de copyright e distribuio seja mantida em todas as cpias, e que a distribuio no tenha fins comerciais.
2. Se este documento for distribudo apenas em partes, instrues de como obt-lo por completo devem ser includas. 3. permitido o uso dos exemplos de documentos e de configurao includos neste texto. Tal uso completamente livre e no est sujeito a nenhuma restrio. 4. vedada a distribuio de verses modificadas deste documento, bem como a comercializao de cpias, sem a permisso expressa do NBSO. Embora todos os cuidados tenham sido tomados na preparao deste documento, o NBSO no garante a correo absoluta das informaes nele contidas, nem se responsabiliza por eventuais conseqncias que possam advir do seu uso.
[ Sumrio ]
direitos e responsabilidades dos usurios, tais como: o utilizao de contas de acesso; o utilizao de softwares e informaes, incluindo questes de instalao, licenciamento e copyright;
o proteo e uso de informaes (sensveis ou no), como senhas, dados de configurao de sistemas e dados confidenciais da organizao; o uso aceitvel de recursos como email, news e pginas Web; o direito privacidade, e condies nas quais esse direito pode ser violado pelo provedor dos recursos (a organizao); o uso de antivrus. direitos e responsabilidades do provedor dos recursos, como: o backups; o diretrizes para configurao e instalao de sistemas e equipamentos de rede; o autoridade para conceder e revogar autorizaes de acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar endereos e nomes de sistemas e equipamentos; o monitoramento de sistemas e equipamentos de rede; o normas de segurana fsica. aes previstas em caso de violao da poltica: o o diretrizes para tratamento e resposta de incidentes de segurana; penalidades cabveis.
Cabe ressaltar que a lista de tpicos acima no exaustiva nem tampouco se aplica a todos os casos. Cada organizao possui um ambiente distinto e os seus prprios requisitos de segurana, e deve, portanto, desenvolver uma poltica de segurana que se molde a essas peculiaridades. recomendvel, por exemplo, que organizaes que possuam uma rede wireless incorporem uma poltica especfica para este tipo de rede (seo 4.13.1) sua poltica de segurana. Alguns fatores importantes para o sucesso de uma poltica de segurana so: apoio por parte da administrao superior; a poltica deve ser ampla, cobrindo todos os aspectos que envolvem a segurana dos recursos computacionais e da informao sob responsabilidade da organizao; a poltica deve ser periodicamente atualizada de forma a refletir as mudanas na organizao; deve haver um indivduo ou grupo responsvel por verificar se a poltica est sendo respeitada; todos os usurios da organizao devem tomar conhecimento da poltica e manifestar a sua concordncia em submeter-se a ela antes de obter acesso aos recursos computacionais; a poltica deve estar disponvel em um local de fcil acesso aos usurios, tal como a intranet da organizao. Dentre os itens acima, o apoio por parte da administrao superior essencial. Se a poltica de segurana no for encampada pela administrao, ela rapidamente ser deixada de lado pelos demais setores da organizao. Alm disso, importante que os seus membros dem o exemplo no que diz respeito observncia da poltica de segurana. Os seguintes fatores influem negativamente na aceitao de uma poltica de segurana e podem lev-la ao fracasso: a poltica no deve ser demasiadamente detalhada ou restritiva; o excesso de detalhes na poltica pode causar confuso ou dificuldades na sua implementao; no devem ser abertas excees para indivduos ou grupos; a poltica no deve estar atrelada a softwares e/ou hardwares especficos.
A poltica de uso aceitvel (AUP -- Acceptable Use Policy) o documento que define como os recursos computacionais da organizao podem ser utilizados. Ela deve ser pblica e estar disponvel a todos os que utilizam a infra-estrutura computacional da organizao, sendo recomendvel que a autorizao para uso dos recursos seja condicionada a uma concordncia expressa com os seus termos. A AUP geralmente parte integrante da poltica de segurana global. Para muitas organizaes, ela ser composta pelos itens da poltica que afetam diretamente os usurios de recursos computacionais, principalmente os que definem seus direitos e responsabilidades. Por outro lado, organizaes que oferecem acesso a usurios externos (tais como provedores de acesso Internet) devem definir uma poltica de uso aceitvel para esses usurios que seja independente da AUP qual esto sujeitos os seus usurios internos. importante que os usurios externos tomem conhecimento dessa poltica e saibam que o uso dos recursos est condicionado ao seu cumprimento.
[ Sumrio ]
providencie de antemo todos os manuais e mdias de instalao que sero utilizados; instale o sistema a partir de dispositivos de armazenamento locais (CD, fita ou disco), desconectado da rede; caso voc precise ligar o sistema em rede (para fazer download de atualizaes, por exemplo), coloque-o em uma rede isolada, acessvel apenas pela sua rede interna. Caso seja possvel, evite concentrar todos os servios de rede em uma nica mquina, dividindoos entre vrios sistemas. Isto desejvel pois aumenta a disponibilidade dos servios na sua rede e reduz a extenso de um eventual comprometimento a partir de um deles.
Um usurio ou um programa mal-comportado pode lotar uma partio na qual tenha permisso de escrita (reas temporrias e de armazenamento de logs so suscetveis a este problema). Se os programas do sistema estiverem em outra partio eles provavelmente no sero afetados, evitando que o sistema trave. Caso uma partio seja corrompida por alguma razo, as outras parties provavelmente no sero afetadas. Em alguns sistemas (notadamente sistemas Unix), possvel definir algumas caractersticas individuais para cada partio. Por exemplo, algumas parties podem ser usadas em modo read-only, o que til para parties que contenham binrios que so modificados com pouca freqncia. Em alguns casos a existncia de vrias parties permite mltiplas operaes de disco em paralelo e/ou o uso de otimizaes individuais para cada partio, o que pode aumentar significativamente o desempenho do sistema. O uso de vrias parties geralmente facilita o procedimento de backup do sistema, pois simplifica funes como: o o o copiar parties inteiras de uma s vez; excluir parties individuais do procedimento; fazer backups em intervalos diferentes para cada partio.
As parties especficas que devem ser criadas variam de sistema para sistema, no existindo uma regra que possa ser sempre seguida. Entretanto, recomenda-se avaliar a convenincia da criao de parties separadas para as reas onde so armazenados itens como: programas do sistema operacional; dados dos usurios; logs; arquivos temporrios; filas de envio e recepo de emails (servidores SMTP); filas de impresso (servidores de impresso); repositrios de arquivos (servidores FTP); pginas Web (servidores HTTP).
Note que a lista acima no exaustiva, podendo existir outras reas do sistema que meream uma partio separada. Da mesma forma, existem itens dentre os acima que no se aplicam a determinados casos. Consulte a documentao do seu sistema operacional para ver se ela contm recomendaes a respeito do particionamento adequado dos discos. As parties devem ser dimensionadas de acordo com os requisitos de cada sistema. Em muitos casos, o tamanho ocupado pelo sistema operacional fornecido na sua documentao, o que pode auxiliar na determinao do tamanho de algumas parties. Qualquer que seja a estrutura de particionamento escolhida, recomendvel que voc tenha pelo menos um esboo dela por escrito antes de comear a instalao. Isto agiliza o processo de instalao e reduz a probabilidade de que se faa uma determinada escolha sem que as suas conseqncias sejam adequadamente previstas.
cresce na medida em que a responsabilidade pela administrao dos sistemas seja compartilhada por diversas pessoas. O formato e o grau de sofisticao do logbook dependem de diversos fatores, e cada administrador deve determinar qual a melhor maneira de manter essas informaes. Um simples arquivo texto pode revelar-se extremamente eficaz, como mostram os exemplos da figura 1. O que realmente importa que esse documento esteja disponvel em caso de falha (acidental ou provocada) do sistema, e que ele contenha informaes suficientes para que, a partir dele, seja possvel reconstituir a exata configurao que o sistema possua antes da falha, sem que seja necessrio recorrer a backups.1 essencial que alteraes na configurao do sistema e de seus componentes estejam documentadas neste logbook. A entrada referente a estas alteraes deve conter, no mnimo, os seguintes itens: data da modificao; responsvel pela modificao; justificativa para a modificao; descrio da modificao. Deve ser possvel, ainda, reconstituir a situao antes da mudana na configurao a partir dessa entrada.
Figura 1: Exemplos de entradas no logbook A figura 1 mostra um exemplo com algumas entradas do logbook de um servidor FTP. A primeira entrada registra a instalao inicial do sistema, realizada no dia 26/02 por um administrador chamado "Joe", e descreve ainda: o sistema operacional utilizado; como ele foi instalado; como o disco foi particionado; onde pode ser encontrada a lista de pacotes instalados;
quais as portas que ficaram ativas aps a instalao; quais os usurios criados (com seus respectivos UIDs e GIDs). Aps a instalao inicial do sistema operacional, no dia 01/03 foi instalado um pacote chamado foo, verso 1.2.3. A entrada correspondente nologbook descreve os passos que foram seguidos para compilar e instalar o pacote e para preparar o sistema para o seu uso (criao de um usurio e um diretrio, com suas respectivas informaes). A terceira entrada registra algumas alteraes que tiveram que ser feitas na configurao do sistema para que o pacote foo pudesse ser usado corretamente. Por sua vez, a ltima entrada do exemplo apresenta uma modificao na inicializao do sistema para carregar um daemon(software servidor) usado pelo pacote. Observe que ambas as entradas permitem que a situao anterior do sistema (ou seja, a situao antes das modificaes descritas) seja restaurada, caso isso se revele necessrio ou desejvel. IMPORTANTE: o logbook de um sistema um documento sensvel, pois contm informaes que podem ser usadas para comprometer mais facilmente a segurana deste sistema. Sendo assim, ele deve ser armazenado e manipulado com cuidado, de acordo com a poltica para documentos sensveis da sua organizao.
maioria dos sistemas atuais possui algum mecanismo de controle de dependncias que avisa quando determinado componente precisa de outro para funcionar. Em outras palavras, freqentemente possvel deixar de instalar vrios componentes sem comprometer a funcionalidade do sistema. Consulte a documentao do seu sistema ou o suporte tcnico do seu fornecedor para saber se isto se aplica ao seu caso. Alguns programas de instalao permitem que o administrador escolha entre uma instalao tpica e uma personalizada ("para experts"). Quando possvel, opte pela personalizada, evitando instalar componentes cuja funcionalidade seja desconhecida ou que voc no esteja certo quanto sua necessidade. Em outros sistemas a instalao se d em duas etapas, a instalao do sistema base (sobre a qual o administrador tem mnimo ou nenhum controle) e a instalao de pacotes ou componentes adicionais. Neste caso, instale o sistema base e selecione cuidadosamente quais os componentes extras que sero adicionados ao sistema. Neste tipo de sistema, a desativao de servios no utilizados (seo 3.6) muito importante e deve ser realizada com especial ateno.
IMPORTANTE: a instalao de correes deve ser realizada no s como parte da instalao inicial do sistema, mas tambm durante o seu tempo de vida, a intervalos peridicos ou sempre que surgirem vulnerabilidades que o afetem. A seo 4.10 traz algumas recomendaes sobre como manter-se informado a respeito de novas vulnerabilidades que afetem os seus sistemas.
4.2.2. Timezone
Caso voc trabalhe com servidores Unix, ajuste o relgio de hardware destes sistemas para a hora padro de Greenwich (GMT) e configure adequadamente o seu fuso horrio (timezone) para que a hora local seja exibida corretamente. O uso do timezone certo tambm possibilita o ajuste automatizado do relgio por conta do horrio de vero. Para que isso seja possvel, voc dever criar ou obter um arquivo de informaes de timezone com as datas corretas de incio e fim do horrio de vero. Para maiores informaes, consulte a documentao do comando zic.
4.4. Logs
Logs so muito importantes para a administrao segura de sistemas, pois registram informaes sobre o seu funcionamento e sobre eventos por eles detectados. Muitas vezes, os logs so o nico recurso que um administrador possui para descobrir as causas de um problema ou comportamento anmalo.
Os logs possibilitam o acompanhamento do que acontece com a sua rede e com os seus sistemas. Para tanto, importante que eles sejam monitorados com freqncia para permitir que eventuais problemas sejam rapidamente identificados. Existem algumas prticas recomendveis no que diz respeito ao monitoramento de logs: incorpore o hbito de inspecionar os logs sua rotina de trabalho; faa isso pelo menos uma vez por dia, mas tenha em mente que sistemas muito importantes ou que geram muita informao podem precisar ter seus logs analisados com maior freqncia; procure investigar as causas de qualquer registro que lhe parea incorreto ou anmalo, por mais insignificante que ele aparente ser; procure identificar o padro de comportamento normal dos seus sistemas, para poder encontrar eventuais anomalias com maior rapidez. Quando estiver analisando logs, voc deve certificar-se do timezone usado para registrar o horrio dos eventos. Por exemplo, alguns softwares(como o Microsoft IIS, dependendo da configurao adotada) registram eventos com a hora de Greenwich (GMT), e no com a hora local. O desconhecimento do timezone em que esto os logs pode facilmente invalidar uma anlise e lev-lo a concluses equivocadas. medida em que voc venha a adquirir prtica com a anlise dos seus logs, voc poder escrever scripts ou pequenos programas para auxili-lo nesta tarefa, automatizando assim parte do processo. Estes scripts so teis, por exemplo, para pr-processar os logs em busca de determinados contedos, para eliminar contedo repetitivo e para elaborar um resumo que pode ser enviado por email para o administrador do sistema. A eliminao de padres relacionados a eventos considerados normais pelo administrador especialmente importante porque, alm de reduzir o volume de logs a serem analisados, pode evidenciar alguma atividade incomum. Uma outra opo utilizar ferramentas que permitam monitorar logs em tempo real, como por exemplo o swatch(http://swatch.sourceforge.net/ ). O swatch requer que voc especifique um conjunto de padres a serem monitorados e as aes a serem tomadas quando um destes padres registrado nos logs. As aes podem ser de diversos tipos, como exibir a informao registrada, notificar um determinado usurio por email e invocar um programa do sistema. A capacidade de execuo de comandos arbitrrios do swatch torna-o muito atraente, pois permite, por exemplo, que sejam tomadas medidas como filtragem de um endereo IP que gere determinado log e envio de uma mensagem de alerta para um telefone celular. Existem tambm vrias ferramentas que tem por objetivo processar diversos formatos conhecidos de logs e que podem ser bastante teis para o administrador. Uma grande lista dessas ferramentas, bem como muita documentao sobre monitorao e anlise de logs est disponvel em http://www.loganalysis.org/ .
4.5. DNS
O DNS (Domain Name System) hoje um servio essencial para o funcionamento da Internet. Essa importncia, associada natureza das informaes que ele armazena, o tornam um dos alvos mais atraentes para atacantes. Desse modo, uma configurao adequada dos servidores DNS crucial para aumentar a segurana e colaborar para o bom funcionamento da rede. Servidores DNS expostos Internet esto sujeitos a uma srie de riscos, dentre os quais destacam-se: Vazamento de informaes sensveis sobre a rede da organizao atravs de transferncias de zonas DNS. Essas informaes podem ajudar um atacante a identificar os pontos fracos da rede e a escolher futuros alvos. Ataques de envenenamento de cache (cache poisoning), que levam um servidor a armazenar informaes forjadas. Tais informaes podem ser usadas para comprometer a segurana de clientes que faam consultas a esse servidor. Comprometimento do servidor atravs de vulnerabilidades no software de DNS, o que pode facilitar outras quebras de segurana no restante da rede da organizao. Esta seo apresenta os principais mecanismos usados para eliminar ou minimizar estas ameaas, trazendo tambm recomendaes sobre a configurao de DNS reverso. Informaes mais detalhadas podem ser obtidas no documento Securing an Internet Name Server, do CERT/CC (disponvel em http://www.cert.org/archive/pdf/dns.pdf ) e nas referncias do apndice A.
com sistemas que possuam vulnerabilidades conhecidas, por exemplo). Em vista disso, o mais prudente evitar registrar esse tipo de informao no DNS. Caso voc deseje usar estes tipos de registros para facilitar a administrao da rede, recomendase fortemente que essas informaes no estejam disponveis para usurios externos sua rede. Isso pode ser conseguido usando-se servidores DNS inacessveis externamente ou, para o BIND 9, atravs do uso adequado de vises. Outro fator importante, e que requer a ateno do administrador, consiste no fato de que o DNS pode fornecer um registro que possibilite a obteno da verso do servio de DNS sendo executado, o que pode ser usado para determinar a vulnerabilidade/suscetibilidade do servio a um dado ataque. Por exemplo, o BIND fornece esta informao atravs de consultas do tipo "version.bind". Portanto, aconselhvel que o administrador verifique se este tipo de registro pode ser fornecido por seu servio de DNS e, ento, configure-o levando em considerao uma ou mais das seguintes medidas: bloqueie toda e qualquer consulta desta natureza, originada na rede interna ou externa; permita que este tipo de consulta seja realizada apenas partindo da rede interna ou de IPs especficos, como da mquina do administrador ou do prprio servidor de DNS (localhost); altere o contedo da string enviada como resultado da consulta, para por exemplo uma string vazia (""); gere registros de eventos (logs) para todas as consultas desta natureza.
O uso mais freqente do DNS a traduo de nomes em endereos IP. Entretanto, ele tambm permite descobrir o nome associado a um determinado endereo IP. Isso chamado DNS reverso, e possibilita a identificao do domnio de origem de um endereo IP. Um DNS reverso mal configurado ou inexistente pode causar alguns transtornos. O primeiro deles que muitos sites negam o acesso a usurios com endereos sem DNS reverso ou com o reverso incorreto. 3 Em segundo lugar, erros na configurao do DNS depem contra a competncia tcnica da equipe de administrao de redes responsvel pelo domnio, e isso pode vir a causar dificuldades quando for necessrio interagir com equipes de outras redes. recomendvel que voc mantenha atualizado o DNS reverso dos endereos sob sua responsabilidade. Em alguns casos a administrao do DNS reverso dos seus blocos pode ser delegada sua rede, enquanto em outros o seu provedor de backbone quem responsvel pelo DNS reverso dos seus endereos. Entre em contato com o seu provedor de backbone para obter informaes sobre como atualizar o seu DNS reverso.
configurados aliases redirecionando as mensagens enviadas a estes endereos para os usurios apropriados. Cabe observar que muitas vezes estes endereos no so usados da maneira mais apropriada, com abuse recebendo reclamaes de incidentes de segurana e security relatos de abusos, ou ambos os endereos sendo usados na mesma notificao. Sendo assim, importante que sua rede possua ambos os endereos e que eles sejam constantemente monitorados pela sua equipe de segurana.
Figura 2: Exemplo de registro SOA Mantenha esse endereo do campo de SOA atualizado em todos os domnios sob sua responsabilidade, incluindo os de DNS reverso. Se preferir, use um alias em vez de um email real. No se esquea que o formato usurio.domnio, e no usurio@domnio.
Uma medida de segurana muito importante na operao de redes a substituio de protocolos onde no haja autenticao atravs de senhas, ou onde senhas trafeguem em claro, por outros que corrijam estas deficincias. A lista de protocolos cuja utilizao deve ser evitada na medida do possvel inclui: Telnet; FTP; POP3; IMAP; rlogin; rsh; rexec. A maioria dos protocolos citados pode ser substituda pelo SSH.5 Essa substituio, alm de fazer com que o trfego entre cliente e servidor passe a ser criptografado, traz ainda outras vantagens, como proteo da sesso contra ataques tipo man-in-the-middle e seqestro de conexes TCP. Em relao ao POP3, existem diversas possibilidades de substituio:
1.
Usar uma das variantes do protocolo (APOP, KPOP, RPOP) que tornam a autenticao de usurios mais segura, pois eliminam o trfego de senhas em claro. As desvantagens desta opo so que nem todos os clientes de email suportam estas variantes e o contedo dos emails (que pode conter informaes sensveis) no criptografado. 2. Usar POP3 atravs de um tnel SSH ou SSL. A primeira opo interessante quando o servidor POP3 e o servidor SSH residem na mesma mquina. Para a segunda, podem ser usadas ferramentas como o stunnel (http://stunnel.mirt.net ). Alguns clientes de emailj suportam SSL diretamente, no sendo necessrio o uso de tneis. 3. Usar uma soluo de Webmail sobre HTTPS (HTTP+SSL). Esta soluo tambm vlida para o IMAP.
172.16.0.0/12 usada em redes privadas (RFC 1918) 192.168.0.0/16 usada em redes privadas (RFC 1918) 169.254.0.0/16 usada para autoconfigurao (est relacionada ao protocolo DHCP) 192.88.99.0/24 usada para 6to4 Relay Anycast (RFC 3068)
198.18.0.0/15 usada para testes de desempenho de equipamentos de rede (RFC 2544) 224.0.0.0/4 240.0.0.0/5
classe D classe E
Outro ponto importante que nem todo o espao de endereamento IPv4 est atualmente alocado. Uma lista dessas redes no alocadas, e portanto reservadas para o IANA, mantida em http://www.iana.org/assignments/ipv4-address-space . Esta lista frequentemente atualizada e recomendvel que seja consultada regularmente. Endereos no alocados e pertencentes a blocos reservados no devem ser propagados atravs da Internet, sendo recomendada a sua filtragem no permetro da sua rede, tanto para entrada quanto para sada. Caso voc possua redes privadas com IPs reservados, certifique-se de que os endereos utilizados sejam os especificados na RFC 19187(10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16). Endereos reservados no devem estar associados a nomes em servidores DNS pblicos. Se voc utiliz-los em redes privadas e quiser usar nomes para as mquinas, configure um servidor DNS privado ou utilize tabelas de hosts (/etc/hosts ou C:\WINDOWS\HOSTS). Caso voc detecte um ataque proveniente de uma das redes da tabela 1 e estes endereos estiverem sendo filtrados no permetro, os pacotes correspondentes s podem ter partido de dentro da sua prpria rede. A causa mais freqente para isso a existncia de erros de configurao que fazem com que os endereos reservados "vazem" de uma ou mais de suas redes privadas. Logo, deve-se procurar internamente a causa do problema em vez de tentar contactar o IANA (que a entidade listada nos contatos de WHOIS para estes blocos).
Quando for necessrio restaurar um sistema, isto deve ser feito com a mquina isolada da rede. Caso o sistema em questo tenha sido comprometido, revise a sua configurao aps a restaurao para certificar-se de que no tenha ficado nenhuma porta de entrada previamente instalada pelo invasor.
Existem diversas formas de se efetuar um ataque de engenharia social, mas todas elas tm em comum a caracterstica de usarem basicamente psicologia e perspiccia para atingir os seus propsitos. Atualmente, as mais populares so:
usar telefone ou email para se fazer passar por uma pessoa (geralmente algum da equipe de suporte tcnico ou um superior da pessoa atacada) que precisa de determinadas informaes para resolver um suposto problema; aproveitar informaes divulgadas em um frum pblico da Internet (lista de discusso por email, newsgroup, IRC) por um administrador ou usurio que busca ajuda para resolver algum problema na rede; enviar programas maliciosos ou instrues especialmente preparadas para um administrador ou usurio, com o objetivo de abrir brechas na segurana da rede ou coletar o mximo de informaes possvel sobre ela (esta tcnica particularmente eficaz quando a pessoa pede auxlio em algum frum de discusso pela Internet); navegar por websites ou repositrios FTP em busca de informaes teis -muitas vezes possvel encontrar descries detalhadas da infra-estrutura computacional e/ou documentos que, por descuido ou esquecimento, no foram removidos do servidor. A principal maneira de se prevenir contra estes ataques orientando os usurios (seo 4.1) e administradores de redes e sistemas sobre como agir nestas situaes. A poltica de segurana da organizao (seo 2.1) desempenha um papel importante neste sentido, pois nela que so definidas as normas para proteo da informao na organizao. Recomenda-se fortemente que os administradores tenham cuidado ao buscar ajuda em listas de discusso e outros fruns na Internet. Estes recursos podem ser valiosos na resoluo de problemas, mas tambm podem ser usados por terceiros para coleta de informaes. Procure reduzir a exposio da sua rede em fruns pblicos -- por exemplo, use endereos IP, nomes de hosts e usurios hipotticos, e tente no revelar mais sobre a topologia da rede do que o estritamente necessrio para resolver um dado problema. Tome cuidado com orientaes passadas por pessoas desconhecidas, e evite executar programas de origem obscura ou no confivel -- eles podem ser uma armadilha.
Outro fator importante consiste na escolha do tipo de firewall que ser implementado. Dentre os tipos atualmente disponveis, destacam-se os filtros de pacotes, amplamente utilizados por terem baixo custo associado e por estarem normalmente integrados a dispositivos como roteadores ou alguns tipos de switches, ou por serem facilmente integrveis ou fazerem parte do kernel de diversos sistemas operacionais. Os filtros de pacotes normalmente analisam informaes colhidas nos cabealhos de cada pacote, tais como endereos IP de origem e destino, protocolo utilizado, portas, e so basicamente divididos em duas categorias: os estticos (stateless) e os dinmicos (stateful). Os filtros estticos so projetados para tomar decises (como bloquear ou permitir) para cada pacote que entra ou sai de uma rede, sem considerar o contexto em que cada pacote est inserido. Portanto, neste caso preciso estabelecer regras, de forma explcita, tanto para o trfego que entra na rede quanto para o trfego que sai (incluindo o trfego de resposta a conexes iniciadas externamente). J os filtros dinmicos rastreiam e mantm o estado das conexes contidas no trfego de rede, fazendo com que cada pacote seja analisado dentro de um contexto (conexo que contm o pacote). Este tipo de filtro de pacotes normalmente apresenta um melhor desempenho e permite que os dois sentidos de trfego (entrada e sada) sejam considerados/tratados separadamente, uma vez que o trfego de resposta gerenciado automaticamente, simplificando assim o conjunto de regras a ser mantido e muitas vezes aumentando a qualidade da filtragem. Administradores experientes em Unix tm disposio diversas ferramentas de software livre que podem ser usadas para implementar firewalls, conforme mostra a tabela 2. Estas ferramentas permitem construir firewalls eficientes a um custo relativamente baixo, uma vez que seus requisitos de hardware so modestos. Tabela 2: Ferramentas de software livre para a construo de firewalls Ferramenta Plataforma Linux Linux Caracterstica filtro de pacotes (stateless) filtro de pacotes (stateful)
FreeBSD filtro de pacotes (stateful) OpenBSD filtro de pacotes (stateful) vrios Unix filtro de pacotes (stateful)
A localizao dos firewalls na rede depende normalmente da sua poltica de segurana. Entretanto, existem algumas regras que se aplicam grande maioria dos casos: Todo o trfego deve passar pelo firewall. Um firewall s pode atuar sobre o trfego que passa por ele. A eficcia de um firewall pode ser severamente comprometida se existirem rotas alternativas para dentro da rede (modems, por exemplo). Caso no seja possvel eliminar todas esses caminhos, eles devem ser documentados e fortemente vigiados atravs de outros mecanismos de segurana. Tenha um filtro de pacotes no permetro da sua rede. Esse filtro pode estar localizado entre o seu roteador de borda e o interior da rede ou no prprio roteador, se ele tiver esta capacidade e voc se sentir confortvel utilizando-o para esta tarefa. O filtro de pacotes de borda importante para tarefas como bloqueio global de alguns tipos de trfego (vide seo 4.12.3) e bloqueio rpido de servios durante a implantao de correes aps a descoberta de uma nova vulnerabilidade. Coloque os servidores externos em uma DMZ. recomendvel que voc coloque os seus servidores acessveis externamente (Web, FTP, correio eletrnico, etc.) em um segmento de rede separado e com acesso altamente restrito, conhecido como
DMZ (DeMilitarized Zone, ou zona desmilitarizada). A principal importncia disso proteger a rede interna contra ataques provenientes dos servidores externos -- uma precauo contra a eventualidade de que um destes servidores seja comprometido. Por exemplo, suponha que um atacante invada o servidor Web e instale um sniffer na rede. Se este servidor Web estiver na rede interna, a probabilidade dele conseguir capturar dados importantes (tais como senhas ou informaes confidenciais) muito maior do que se ele estiver em uma rede isolada. Considere o uso de firewalls internos. Em alguns casos, possvel identificar na rede interna grupos de sistemas que desempenham determinadas tarefas comuns, tais como desenvolvimento de software, webdesign e administrao financeira. Nestes casos, recomenda-se o uso de firewalls internos para isolar estas sub-redes umas das outras, com o propsito de aumentar a proteo dos sistemas internos e conter a propagao de ataques bem-sucedidos.
4.12.4. Exemplos
Diversas arquiteturas podem ser empregadas para a implantao de firewalls em uma rede. A opo por uma delas obedece a uma srie de fatores, incluindo a estrutura lgica da rede a ser protegida, custo, funcionalidades pretendidas e requisitos tecnolgicos dos firewalls.
Figura 3: Um exemplo simples de firewall Esta seo apresenta duas destas arquiteturas. A inteno no cobrir todas as possibilidades de uso de firewalls, mas fornecer exemplos de arquiteturas que funcionam e que podem eventualmente ser adotados (na sua forma original ou aps passarem por adaptaes) em situaes reais. A figura 3 mostra um exemplo simples de uso de firewall. Neste exemplo, o firewall possui trs interfaces de rede: uma para a rede externa, uma para a rede interna e outra para a DMZ. Por default, este firewall bloqueia tudo o que no for explicitamente permitido (default deny). Alm disso, ofirewall usado do tipo stateful, que gera dinamicamente regras que permitam a entrada de respostas das conexes iniciadas na rede interna; portanto, no preciso incluir na configurao do firewall regras de entrada para estas respostas. O trfego liberado no exemplo da figura 3 o seguinte: interface externa: o sada: tudo com exceo de pacotes com endereos de origem pertencentes a redes reservadas; pacotes com endereos de origem no pertencentes aos blocos da rede interna. o entrada: apenas os pacotes que obedecem s seguintes combinaes de protocolo, endereo e porta de destino: 25/TCP para o servidor SMTP; 53/TCP e 53/UDP para o servidor DNS; 80/TCP para o servidor WWW.
interface da DMZ: o sada: portas 25/TCP (SMTP), 53/UDP e 53/TCP (DNS) e 113 (IDENT); o entrada: alm das mesmas regras de entrada da interface externa, tambm permitido o trfego para todos os servidores na com porta de destino 22/TCP (SSH) e endereo de origem na rede interna.
Figura 4: Um exemplo mais complexo de firewall A figura 4 ilustra o uso de firewalls em uma situao mais complexa do que a anterior. Neste segundo exemplo, alm dos servidores externos na DMZ, h tambm servidores na intranet e no setor financeiro da organizao. Devido importncia das informaes mantidas neste setor, a sua rede conta com a proteo adicional de um firewall interno, cujo objetivo principal evitar que usurios com acesso rede interna da organizao (mas no rede do setor financeiro) possam comprometer a integridade e/ou o sigilo dessas informaes. A configurao do firewall externo neste segundo exemplo quase idntica ao primeiro. Entretanto, no presente caso supe-se que o servidor SMTP visvel externamente (o da DMZ) repassa as mensagens recebidas para o servidor SMTP da intranet. Para que isso seja possvel, necessrio mudar a regra de filtragem para a interface interna, liberando o trfego do servidor SMTP da DMZ para a porta 25/TCP do servidor SMTP da intranet. A configurao do firewall interno, por sua vez, bastante simples. O servidor da rede do setor financeiro permite apenas acesso via HTTPS para que os funcionrios da organizao possam
consultar seus contracheques; outros tipos de acesso no so permitidos. O trfego liberado por este firewall o seguinte: interface externa (rede interna): o sada: tudo; o entrada: apenas pacotes para o servidor do setor financeiro com porta de destino 443/TCP (HTTPS) e endereo de origem na rede interna; interface interna (rede do setor financeiro): o o sada: tudo; entrada: tudo (a filtragem feita na interface externa).
4.13.2. Topologia
Dois fatores muito importantes devem ser considerados ao definir a topologia de uma rede wireless: o posicionamento do AP e a necessidade de isolar esta rede da rede interna da instituio. Com relao ao posicionamento do AP, dependendo da potncia de sua antena, uma rede wireless pode ter um alcance que ultrapasse os limites geogrficos da instituio, o que pode facilitar o uso e a escuta no autorizadas. Esse vazamento de sinal extremamente comum e deve servir de estmulo para o administrador implementar medidas como o uso de autenticao e criptografia, discutidas na seo 4.13.3. Alm do uso de criptografia, um posicionamento cuidadoso dos APs (mais para o centro de um prdio, longe de janelas, etc.) pode minimizar o vazamento desnecessrio de sinal. importante notar que esse procedimento deve ser encarado apenas como uma camada adicional de segurana, uma vez que um atacante interessado em sua instituio pode fazer uso de uma antena amplificadora de sinal e ter acesso sua rede wireless mesmo a distncias maiores. Com relao ao isolamento da rede wireless da rede interna da instituio deve-se ter em mente que as redes wireless jamais devem ser conectadas diretamente dentro de uma rede protegida por um firewall (devem ser consideradas "untrusted"). Colocar um AP diretamente em uma rede protegida por um firewall seria equivalente instalao de um modem dentro dessa rede, por exemplo. Uma soluo de topologia pode ser colocar todos os APs em um segmento de rede prprio e colocar um firewall entre esse segmento e o resto da infra-estrutura de rede da instituio. Alm de possibilitar o controle de utilizao, ainda prov uma boa possibilidade de integrao com VPNs.
Por fim, prefervel conectar um AP a um switch, no a um hub. O trfego de rede em um hub pode ser potencialmente enviado para toda a redewireless e eventualmente ser interceptado por algum cliente.
IMPORTANTE: alguns APs possuem uma opo de reset fsico que faz com que todas as configuraes de fbrica sejam recarregadas. Nesses casos, muito importante que o AP fique em um local com acesso fsico controlado. Modos de configurao: a maioria dos APs permite vrios12 meios de configurao: HTTP, SNMP, Telnet, etc. Sempre que possvel, importante desabilitar os que no forem necessrios e optar por um modo de configurao que no seja pela prpria rede wireless, mas sim pela rede cabeada ou ainda via conexo serial. Isso minimiza as chances de que a sesso de configurao com o AP seja capturada por algum cliente wireless. Broadcast de SSID: uma recomendao til desabilitar o broadcast de SSID pelo AP. Embora seja uma medida simples, pode dificultar o uso de alguns programas populares de mapeamento de redes wireless. Filtragem por endereo MAC: alguns APs possuem o recurso de filtragem de clientes wireless por endereo MAC. Embora endereos MAC possam ser forjados e muitas vezes no seja prtico manter uma lista de endereos MAC dos clientes autorizados (e em alguns casos invivel, como em conferncias), o administrador pode considerar o uso desse recurso como uma camada adicional de segurana do seu ambiente wireless. Uma ltima considerao diz respeito possibilidade de desligar o AP quando no estiver sendo utilizado, conforme especificado na sua poltica de uso.
Da mesma forma que muitos administradores monitoram o seu ambiente de rede convencional (com o uso de IDSs, por exemplo), a monitorao da rede wireless tambm importante. Essa monitorao pode detectar: clientes conectados em um dado instante (em horrios improvveis ou simplesmente para acompanhamento); instalao de APs no autorizados; dispositivos que no estejam usando WEP; ataques contra os clientes wireless; acessos no autorizados; mudanas de endereos MAC; mudanas de canal; DoS ou jamming. [3] O caso mais comum de incorreo quando existe um nome para resolver um dado IP mas este mesmo nome no est registrado em nenhum DNS direto, ou ento resolve para outro endereo IP. Um exemplo disso seria o endereo IP 192.0.2.34 resolver parafoo.example.org mas este nome resolver para o IP 192.0.2.76. [ voltar ] [4] D. Crocker, "Mailbox Names for Common Services, Roles and Functions", RFC 2142, Internet
Mail Consortium, May 1997. Disponvel emhttp://www.ietf.org/rfc/rfc2142.txt . [ voltar ] [5] Implementaes de SSH para diversos sistemas operacionais esto disponveis em http://www.openssh.com . [ voltar ] [6] IANA, "Special-Use IPv4 Addresses", RFC 3330, September 2002. Disponvel em http://www.ietf.org/rfc/rfc3330.txt . [ voltar ] [7] Y. Rekhter et.al., "Address Allocation for Private Internets", RFC 1918, February 1996. Disponvel em http://www.ietf.org/rfc/rfc1918.txt .[ voltar ] [8] Veja http://www.cert.org/contact_cert/certmaillist.html . [ voltar ] [9] A seo 4.11 mostra alguns cuidados que devem ser tomados por quem utiliza listas de discusso por email. [ voltar ] [10] Veja http://online.securityfocus.com/ . [ voltar ] [11] dicas para a escolha de boas senhas podem ser obtidas na seo 3.4. [ voltar ] [12] inclusive alguns modos, como o caso de TFTP, habilitados por alguns fabricantes sem serem documentados. [ voltar ]
[ Sumrio ]
Pgina a partir da qual pode ser obtida a verso mais recente do documento "Cartilha de Segurana para Internet", do glossrio echecklist que o acompanham. Este documento tem por finalidade sanar algumas dvidas comuns sobre segurana de computadores e redes, e dirigido aos usurios de redes e Internet. Recomenda-se que administradores de redes utilizem os documentos que compem a Cartilha no processo de educao dos seus usurios. "CERT Security Improvement Modules: Security Knowledge in Practice". http://www.cert.org/security-improvement/skip.html . Apresenta, de forma grfica, os passos que esto envolvidos na obteno de uma rede mais segura. Contm uma grande quantidade de material que aborda de forma mais aprofundada vrios dos assuntos discutidos neste documento. "NIST SP 800-48, Wireless Network Security 802.11, Bluetooth and Handheld Devices". http://csrc.nist.gov/publications/drafts/draft-sp800-48.pdf Documento do NIST que contm informaes detalhadas sobre segurana em redes wireless, incluindo um estudo de caso e umchecklist no final do documento. "Prticas de Segurana para Administradores de Redes Internet". http://www.cert.br/docs/seg-adm-redes/. Pgina a partir da qual pode ser obtida a verso mais recente deste documento e do checklist que o acompanha. Contm tambm um histrico de revises dos documentos. "Security Links". http://www.cert.br/links/.
Uma compilao de URLs sobre diversos aspectos de administrao e segurana de redes e sistemas, incluindo diversos apresentados neste documento, e que atualizada periodicamente.
A.2. Livros
802.11 Wireless Networks: The Definitive Guide. Matthew Gast. O'Reilly, 2002. http://www.oreilly.com/catalog/802dot11/ Este livro uma tima referncia sobre redes 802.11, embora no seja focado exclusivamente em segurana. Cobre as diferentes verses do protocolo, suas peculiaridades, fatores que devem ser considerados ao definir a topologia da rede e questes relacionadas com a monitorao e o uso seguro destas redes. Building Internet Firewalls, 2nd Edition. Elizabeth D. Zwicky, Simon Cooper e D. Brent Chapman. O'Reilly & Associates, 2000. http://www.oreilly.com/catalog/fire2/ Um dos melhores livros disponveis sobre firewalls, com muitas informaes prticas sobre como constru-los. Computer Security: Art and Science. Matt Bishop. Addison-Wesley, 2002. http://nob.cs.ucdavis.edu/book/ Livro que cobre de forma aprofundada os aspectos tericos relacionados com segurana. Contm captulos que discutem polticas de segurana, uso de criptografia e implementao de sistemas de forma segura. De maior interesse para administradores de redes a sesso "Practicum", onde discutida a aplicao de diversos conceitos de segurana em situaes reais. DNS and BIND, 4th Edition. Paul Albitz e Cricket Liu. O'Reilly & Associates, 2001. http://www.oreilly.com/catalog/dns4/ Este livro possui bastante informao sobre o protocolo DNS e a sua principal implementao, o BIND. A quarta edio contm um captulo sobre segurana de servidores DNS. Firewalls and Internet Security: Repelling the Wily Hacker, 2nd Edition. Willian R. Cheswick, Steven M. Bellovin e Aviel D. Rubin. Addison-Wesley, 2003. http://www.wilyhacker.com/ Excelente referncia sobre segurana em Internet. Alm de apresentar uma grande seo sobre o estudo de Firewalls e VPNs, tambm dispe de sees que envolvem outros temas, como ferramentas e tcnicas utilizadas em ataques e na defesa de redes e sistemas de informao, anlise de problemas e prticas de segurana em intranets, e implantao de hosts fortificados e de sistemas de deteco de intruso (IDSs). O livro possui diversos exemplos prticos, que refletem a experincia de seus autores. Practical Unix and Internet Security, 3rd Edition. Simson Garfinkel, Gene Spafford e Alan Schwartz. O'Reilly & Associates, 2003. http://www.oreilly.com/catalog/puis3/ Este livro considerado referncia obrigatria em segurana de sistemas Unix. Esta nova edio aborda as variantes de Unix mais populares e cobre questes atuais relacionadas a redes e segurana de sistemas. O livro contm informaes sobre autenticao, sistema de arquivos, criptografia, wireless, firewalls, deteco de intruso, anlise forense, entre outras.
TCP/IP Illustrated, Volume 1: The Protocols. W. Richard Stevens. AddisonWesley, 1994. A melhor obra disponvel sobre TCP/IP. O texto claro e didtico, e numerosos exemplos (usando tcpdump) ajudam a compreender o funcionamento dos protocolos na prtica. Unix System Administration Handbook, 3rd Edition. Evi Nemeth, Garth Snyder, Scott Seebass e Trent R. Hein. Prentice Hall, 2001. O clssico sobre administrao de sistemas Unix, recentemente atualizado. Traz explicaes claras e objetivas sobre como realizar, de forma eficiente, as diferentes tarefas que competem a um administrador de sistemas Unix. Segurana Nacional. Nelson Murilo de O. Rufino. Novatec, 2001. http://www.segurancanacional.com.br/ Uma boa referncia sobre segurana computacional em portugus, com enfoque em aspectos prticos. Srie O'Reilly sobre administrao de servios de rede e sistemas operacionais especficos. http://www.oreilly.com/ A editora O'Reilly conhecida pela qualidade tcnica dos seus livros, que geralmente abordam um assunto especfico com bastante profundidade e com um enfoque bem prtico. Existem guias para servidores como Apache (Web) e Sendmail (SMTP), alm de diversos ttulos sobre uso e administrao de sistemas operacionais (incluindo Unix, Linux e Windows). Windows 2000 Security. Roberta Bragg. New Riders Publishing, 2000.
Este livro discute segurana no Windows 2000, dando maior nfase aos aspectos prticos. Os temas abordados incluem IPsec, Kerberos, Active Directory, RAS e RRAS. Windows NT Security: A Practical Guide to Securing Windows NT Servers & Workstations. Charles B. Rutstein. McGraw-Hill, 1997. Um bom livro sobre segurana de Windows NT, incluindo instalao, configurao, uso do Registry, logging, entre outros assuntos. Writing Information Security Policies. Scott Barman. New Riders Publishing, 2001. Este livro explica como escrever e implementar uma poltica de segurana. Contm vrios exemplos extrados de polticas reais, que podem ser usados como guia para a formulao de novas polticas.
[ Sumrio ] $Date: 2011/02/21 19:45:53 $