Pr aticas de Seguranc a para Administradores de Redes Internet Checklist

NIC BR Security Ofce nbso@nic.br Vers ao 1.2 16 de maio de 2003

Copyright c 2002, 2003 NBSO

es contidas no documento intitulado Pr Este checklist resume as principais recomendac o aticas de Seguranc a para Ad es para congurar, administrar e operar redes ligadas a ` Internet ministradores de Redes Internet, um guia com informac o de forma mais segura. O documento original pode ser obtido em http://www.nbso.nic.br/docs/seg-adm-redes/. es sobre copyright e distribuic o, veja o documento original. Para informac o a

Pol ticas
o de uma pol o da organizac o; elaborac a tica de seguranc a, com apoio da administrac a a o da pol divulgac a tica de seguranc a entre os usu arios da rede; o e divulgac o de uma pol elaborac a a tica de uso aceit avel (AUP).

o e Congurac o Segura de Sistemas Instalac a a

o: 1. Antes da instalac a planejamento dos prop ositos e servic os do sistema; o do particionamento do disco; denic a o necess ` instalac o. provis ao de m dias e documentac a arias a a o: 2. Durante a instalac a escolha de uma senha forte para o administrador; o do m instalac a nimo de pacotes, com o sistema fora da rede; o da instalac o no logbook. documentac a a o: 3. Ap os a instalac a o de servic desativac a os instalados e n ao utilizados; o de correc es de seguranc instalac a o a; o do servidor SMTP, fechando o relay; congurac a

 Praticas de Seguranc a para Administradores de Redes Internet Checklist

2/4

o do proxy Web, ajustando os controles de acesso. congurac a 4. Antes de conectar o sistema em rede: o das portas TCP/UDP abertas, usando um comando como o netstat; vericac a ajuste nas regras de rewall apropriadas, para liberar o tr afego para o novo sistema. Alguns checklists mais espec cos para determinados sistemas operacionais podem ser encontrados em http://www.sans.org/SCORE/.

o e Operac o Segura de Redes e Sistemas Administrac a a

o dos usu 1. Educac a arios: o de documentos de educac o do usu divulgac a a ario, sobre seguranc a de redes, como por exemplo a Cartilha de Seguranc a para a Internet, dispon vel em http://www.nbso.nic.br/docs/ cartilha/. 2. Ajuste do rel ogio: o e congurac o de um servidor local de tempo (por exemplo, NTP); instalac a a o dos rel sincronizac a ogios dos sistemas da rede com o rel ogio do servidor local de tempo; ajuste do timezone dos sistemas. 3. Equipes de administradores: o de listas de discuss o entre os administradores de redes e sistemas da criac a ao para a comunicac a o; organizac a o de ferramentas para controle de alterac es na estabelecimento de procedimentos e/ou instalac a o o dos sistemas; congurac a o de ferramentas que permitam um controle sobre estabelecimento de procedimentos e/ou instalac a o de contas privilegiadas (root e Administrator). a utilizac a 4. Logs: o do logging em sistemas e servic habilitac a os; estabelecimento de um procedimento de armazenamento de logs; o e congurac o de um loghost centralizado; instalac a a estabelecimento de um procedimento de monitoramento de logs; o de ferramentas de monitoramento automatizado e de sumarizac o de logs. instalac a a 5. DNS: o de transfer limitac a encias de zona nos servidores DNS mestres e escravos; o de servidores com autoridade e recursivos; separac a o do servidor DNS para execuc o com privil congurac a a egios m nimos; o de informac es sens preservac a o veis (incluindo vers ao do servic o) registradas no DNS;

 Praticas de Seguranc a para Administradores de Redes Internet Checklist

3/4

o do DNS reverso para todos os hosts da rede. congurac a es de contato: 6. Informac o o dos emails abuse e security; implementac a o do contato de SOA no DNS; atualizac a o dos contatos (especialmente o t atualizac a ecnico) no WHOIS. o de protocolos sem criptograa: 7. Eliminac a o de Telnet/FTP/rlogin/rsh/rexec por SSH; substituic a o de POP3 e IMAP sem criptograa por soluc es de email com criptograa (POP3 ou substituic a o IMAP sobre SSL, Webmail sobre HTTPS). 8. Cuidados com redes reservadas: ltragem dos enderec os pertencentes a redes reservadas e n ao alocadas; o de tabelas de hosts e/ou servidores DNS privados quando s congurac a ao utilizados internamente enderec os de redes reservadas. o de sistemas: 9. Pol ticas de backup e restaurac a o da periodicidade dos backups; denic a o dos dados que devem ser copiados; denic a escolha de um local adequado para o armazenamento dos backups; o de backups; estabelecimento de um procedimento de vericac a o de sistemas a partir do backup. estabelecimento de um procedimento para a restaurac a 10. Como manter-se informado: o nas listas de an inscric a uncios de seguranc a dos fornecedores de software e/ou hardware; o nas listas de administradores e/ou usu inscric a arios dos produtos usados na sua rede; o na lista de alertas de seguranc inscric a a do CERT/CC. es contra engenharia social: 11. Precauc o es treinamento de usu arios e administradores contra poss veis tentativas de descoberta de informac o o; sobre a rede da organizac a o de documentos que contenham tais informac es e que estejam dispon busca e remoc a o veis nos servidores de rede; o de informac es sens preservac a o veis ao solicitar aux lio em f oruns p ublicos na Internet.

 Praticas de Seguranc a para Administradores de Redes Internet Checklist

4/4

12. Uso ecaz de rewalls: escolha de um rewall que rode em um ambiente com o qual os administradores estejam acostumados; o de rewalls em pontos estrat instalac a egicos da rede, incluindo, possivelmente, rewalls internos; uso de uma DMZ para connamento dos servidores p ublicos; o de ingress e egress ltering no per implementac a metro da rede. 13. Redes wireless: o de uma pol denic a tica de Uso da Rede Wireless; posicionamento cuidadoso dos APs visando minimizar o vazamento de sinal; o da rede WLAN da rede interna da instituic o; segregac a a uso de WEP; o (SSH, SSL, etc); uso de criptograa na aplicac a o de WAP e 802.11i, quando dispon adoc a veis; o default dos APs (senhas, SSID, SNMP communities, etc); mudanc a da congurac a desligamento do broadcast de SSID; o dos clientes wireless (aplicac o de patches, uso de rewall pessoal, antiv protec a a rus, etc.); o da rede wireless. monitorac a