Segurana de Permetro de Rede em Conformidade com os Padres
NBR IS!I"C #$$%% &BS$$%%' e C( )A*RAS +inas ,erais - Brasil (..$ +onografia apresentada ao /epartamento de Ci0ncia da Computa1o da 2ni3ersidade 4ederal de )a3ras5 como parte das e6ig0ncias do curso de P7s8 ,radua1o )ato Sensu em Administra1o em Redes )inu65 para o9ten1o do ttulo de "specialista em Redes )inu6: rientador Prof: +sc: Sandro Pereira de +elo PROJETO DE REDES www.projetoderedes.com.br Paulo Henrique Coelho Andrade Segurana de permetro de rede em conformidade com os padres NBR IS!I"C #$$%% &BS$$%%' e C( Apro3ada em ;# de +aro de (..$ <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< Prof: +sc: Herlon A=res Camargo <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< Prof: /sc: +arluce Rodrigues Pereira <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< Prof: +sc: Sandro Pereira de +elo &rientador' )A*RAS +inas ,erais - Brasil (..$ +onografia apresentada ao /epartamento de Ci0ncia da Computa1o da 2ni3ersidade 4ederal de )a3ras5 como parte das e6ig0ncias do curso de P7s8 ,radua1o )ato Sensu em Administra1o em Redes )inu65 para o9ten1o do ttulo de "specialista em Redes )inu6: PROJETO DE REDES www.projetoderedes.com.br DEDICATRIA Dedico este trabalho a minha querida filhinha Giovanna que nasceu no ms que tive a primeira oportunidade de apresentar este trabalho, a qual adiei para a seunda oportunidade, para presenciar seu nascimento! Ela ainda n"o tem conscincia, mas todo o tempo em que dedico estudando e trabalhando # para tentar conquistar uma posi$"o mais confort%vel e arantir um futuro melhor para ela e tamb#m a minha querida esposa! AGRADECI&E'T() Gostaria de aradecer a minha esposa, minha m"e e irm" que tiveram muita pacincia e compreens"o pela horas e horas que estive ausente me dedicando a este trabalho! Tamb#m ostaria de aradecer ao meu orientador )andro *ereira &elo pelas v%rias suest+es de material que au,iliou no enriquecimento deste meu trabalho de monorafia! RESUMO > de conhecimento de muitos que a cada dia que se passa est? mais difcil manter as informaes seguras5 se@am elas pessoais ou corporati3as: As mais 3ariadas ferramentas de soft-are ou hard-are e6istentes 9uscam os mesmos o9@eti3os5 equili9rando segurana5 riscos e fle6i9ilidade: " este tra9alho de monografia atra3As do estudo de caso do am9iente computacional da empresa 2RCB+)5 realiCou uma an?lise do permetro de rede e com o au6lio das normas e padres NBR IS!I"C #$$%%5 BS$$%% e C(5 apresenta uma an?lise dos resultados: Propor melhorias e ainda propor uma mudana no la.out do permetro de rede: Ainda neste tra9alho5 ser? comentado so9re recursos e a@ustes recomendados para se realiCar no ser3idor fire-all! "stes a@ustes s1o em n3el de Dernel e na ?rea utiliCada pelos usu?rios5 chamada 2S"RSPAC": Por Eltimo ser? apresentado o resultado da an?lise5 caso o o9@eti3o tenha sido alcanado5 e ser1o propostas mudanas: F LISTA DE FIGURAS 4igura #G )a=out Atual do Permetro de Rede da "mpresa 2RCB+):::::::::::::::::#$ 4igura (G )a=out de Sugerido do Permetro de Rede da "mpresa 2RCB+):::::#H 4igura ;G *is1o do Sistema sem o )I/S::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::(; 4igura IG *is1o do Sistema com o )I/S:::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::(; 4igura FG "tapas da Segurana da Informa1o representa por uma pirJmide::: :;# K LISTA DE TABELAS Ba9ela #G Relacionamento dos requisitos com as classes de prote1o &orange 9ooD':::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::(# Ba9ela (G NBR IS!I"C #$$%% 8 /ocumenta1o da Poltica de Segurana::::::;K Ba9ela ;G NBR IS!I"C #$$%% 8 Segurana rganiCacional::::::::::::::::::::::::::::;$ Ba9ela IG NBR IS!I"C #$$%% 8 Segurana Relacionada L Pessoas:::::::::::::::;$ Ba9ela FG NBR IS!I"C #$$%% 8 Segurana 4sica::::::::::::::::::::::::::::::::::::::::::;H Ba9ela KG NBR IS!I"C #$$%% 8 ,erenciamento das peraes e Comunicaes:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::;% Ba9ela $G NBR IS!I"C #$$%% 8 Controle de Acesso:::::::::::::::::::::::::::::::::::::::I. Ba9ela HG NBR IS!I"C #$$%% 8 Conformidade e Continuidade do Neg7cio: : : :I# $ LISTA DE ABREVIATURAS E SIGLAS ABNB 8 Associa1o Brasileira de Normas BAcnicas BS 8 /ritish )tandart BS$$%% 8 /ritish )tandart 0011 I"C 8 International Enineerin Consortium IS 8 International )tandarti2ation (rani2ation NBR - Norma Brasileira BI - Becnologia da Informa1o "2A - "stados 2nidos da AmArica SH 8 Segmento do mercado composto por empresas de pequeno porte e escrit7rio domAsticos C( 8 N3el de segurana definido pelo BCS"C5 e e6igido pelo /epartamento de /efesa dos "stados 2nidos SI 8 (pen ).stems Interconnection5 Camadas SI ou Intercone61o de Sistemas A9ertos5 A um con@unto de padres IS relati3o L comunica1o de dados /BI 8 Department (f Trade Centre CC)C 3 Comercial Computer )ecurit. Centre TC)EC 3 Truster Computer )ecurit. Evaluation Criteria, A um documento desen3ol3ido pela Agencia Nacional de Segurana do ,o3erno dos "stados 2nidos CC - Common Criteria5 padr1o internacional de segurana de computador5 atualmente tornou8se a IS!I"C #FI.H 'AT 3 'et-or4 Address Translation5 tam9Am chamado de masquerade, consiste na tAcnica de reescre3er os IPMs de origem5 passando so9re um fire-all ! roteador L acesso e6terno H Sumrio R"S2+::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::F )ISBA /" 4I,2RAS::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::K )ISBA /" BAB")AS:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::$ )ISBA /" ABR"*IAB2RAS " SI,)AS:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :H #: Introdu1o::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::## #:# +oti3a1o::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::#( #:( 9@eti3os::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::#( #:(:# 9@eti3os ,erais:::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::#( #:(:( 9@eti3os "specficos:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::#; #:; "scopo e +etodologia::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :#; #:I "stado da Arte:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::#I #:F rganiCa1o do Bra9alho:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::#K (: Permetro de Rede::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::#K (:# 4undamenta1o Be7rica::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::#K (:( Conceitua1o::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::#$ (:; )a=out do Permetro da "mpresa 2RCB+)::::::::::::::::::::::::::::: ::::::::::::::::#H (:;:# An?lise Crtica:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::#% (:I )a=out Sugerido para a "mpresa 2RCB+):::::::::::::::::::::::::::::::::::::::::::::(. (:I:# Nustificati3a e Conclus1o::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::(. ;: N3eis de Segurana::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::(# ;:# Conceitua1o::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::(# ;:( Recursos 2tiliCados:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::(F ;:; Benefcios Adquiridos:::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::($ I: Proposta de Hardening para um Ser3idor 4ireOall::::::::::::::::::::::::::::::::::::::::::($ I:# Conceitua1o::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::($ I:#:# Recursos 2tiliCados:::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::(H I:#:( Benefcios Adquiridos::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::::;. I:( Buning do Pernel::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :;( I:(:# Conceitua1o:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::;( I:(:( Segurana do Pernel::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::;( I:(:; Aplica1o do patch )I/S::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::;; I:(:I Alternati3as de Segurana:::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::;I F: Polticas de Segurana:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::;F F:# Consideraes::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::;F F:( Conformidade com Requisitos:::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::;$ F:; Apresenta1o e An?lise dos Resultados::::::::::::::::::::::::::::::::: :::::::::::::::::I# Segurana rganiCacional &Ader0ncia ,lo9al':::::::::::::::::::::::::::::::::::::::: ::II Segurana 4sica e do Am9iente &Ader0ncia ,lo9al'::::::::::::::::::::::::::::::::IK Controle de Acesso &Ader0ncia ,lo9al':::::::::::::::::::::::::::::: ::::::::::::::::::::::IH Conformidade e Continuidade do Neg7cio &Ader0ncia ,lo9al'::::::::::::::::::F. F:I Resultados 9tidos:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::F. K: Conclus1o::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::F( K:# Consideraes 4inais:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :F( % $: Refer0ncias Bi9liogr?ficas::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::F; $:# )i3ros::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::F; $:( +onografias::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::F; $:; Qe9i9liografias::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::FI #. 1. Introduo Com o surgimento da rede glo9al5 a Internet5 hou3e tam9Am uma grande preocupa1o com as informaes de3ido ao risco de poss3eis in3ases e a possi9ilidade destas informaes se tornarem acess3eis a qualquer pessoa conectada L Internet ser uma realidade: Para garantir a segurana dessas informaes A necess?rio muito mais do que apenas implementar uma ferramenta ou aplicar uma tecnologia de segurana: As organiCaes comearam a se preocupar com a segurana da informa1o e suas premissas5 e essas 3ariam de acordo com seus n3eis de segurana aplicados no am9iente5 se@a ele SH ou Corporati3o e5 assim5 garantir a qualidade5 confidencialidade5 integridade e disponi9ilidade dessas informaes: Para esta garantia5 torna8se indispens?3el que o am9iente possua um fireOall5 tam9Am chamado de parede de fogo ou parede corta fogo5 que nada mais A queG Ro nome dado ao dispositi3o de uma rede de computadores que tem por fun1o regular o tr?fego de rede entre redes distintas e impedir a transmiss1o de dados noci3os ou n1o autoriCados de uma rede para outraS: No mesmo conceito incluem8seG os filtros de pacotes e os pro,.s5 a implementa1o de um chec4list pode se transformar no estado da arte em rela1o a pre3en1o de pro9lemas para os administradores T#.U: fire-all A utiliCado para e3itar que o tr?fego n1o autoriCado possa fluir de um domnio de rede para o outro: Apesar de se tratar de um conceito geralmente relacionado L prote1o de um sistema de dados contra in3ases5 o fire-all n1o possui capacidade de analisar toda a e6tens1o do protocolo5 restringindo8se geralmente ao n3el I da camada SI T#;U5 e atra3As de m7dulos agregados podendo tra9alhar em outras camadas SI: T$U Neste tra9alho de monografia5 ser1o propostas medidas que ser3ir1o de au6ilio a an?lise5 e ser1o utiliCadas num permetro de rede que se dese@a tornar seguro5 usando como 9ase e refer0ncia os padres e normas da IS!I"C #$$%%5 pr?ticas aplicadas da BS$$%% com au6lio de ferramentas do am9iente )inu6: ## PROJETO DE REDES www.projetoderedes.com.br Algo importante a ser lem9rado A que cada caso A um caso: "ste tra9alho ser3ir? de refer0ncia comum L muitos am9ientes5 porAm h? situaes n1o aplic?3eis em determinados am9ientes computacionais: > tarefa do administrador de redes a3aliar a sua aplica9ilidade ou n1o no am9iente em quest1o: "sse tra9alho n1o pretende e6aurir os assuntos5 mas apresentar uma no1o e proposta do caminho a seguir na implementa1o de segurana em redes: 2sou8se como estudo de caso para o le3antamento desses requisitos a empresa com pseudVnimo de 2RCB+): 1.1 Motivao Wuando se fala em prote1o de um 9em ou um ati3o de informa1o5 significa que este tem um 3alor e5 que muitas 3eCes5 A imensur?3el ou irrecuper?3el: N1o se trata apenas de uma segurana fsica5 mas tam9Am de uma segurana l7gica: A moti3a1o para a realiCa1o deste tra9alho5 originou8se na aus0ncia de critArios ou polticas de segurana5 quando ingressei na empresa que tra9alho atualmente: +uitos itens @? foram implementados desde ent1o5 como treinamento 9?sico aos cola9oradores so9re a segurana da informa1o5 um controle de autentica1o centraliCado5 ate-a. de Internet atra3As de regras simples do IPBAB)"S e filtro de conteEdo com o SW2I/8PRXY5 sem falar na infra8estrutura e ca9eamento estruturado que era ine6istente: > difcil conseguir segurana quando n1o se adota critArios ou padres5 surgiu8se ent1o5 a idAia de propor a ado1o de padres como a NBR IS!I"C #$$%%5 pr?ticas &BS$$%%' e n3el de segurana C( definido pela BCS"C e utiliCado pelo /epartamento de /efesa dos &"2A'5 no permetro de rede da empresa 2RCB+)5 utiliCado como estudo de caso: 1.2 Ob!ti"o# 1.2.1 Objetivos Gerais #( o9@eti3o deste tra9alho A entender e analisar o permetro de rede de uma organiCa1o5 que rece9er? o nome fictcio de 2RCB+)5 para preser3ar sua integridade e imagem: "m posse dos resultados5 sugere8se a aplica1o de uma poltica de segurana adequada para a organiCa1o5 utiliCando como refer0ncia a norma anteriormente falada: Sa9e8se que h? inEmeros fatores que est1o en3ol3idos na segurana de um permetro de rede5 os soft-ares s1o um dos ati3os mais importantes na implementa1o das normas e ou padres de segurana5 mas n1o s1o os Enicos5 pois questes fsicas tam9Am de3em ser o9ser3adas: 1.2.2 Objetivos Especficos "ste tra9alho 3isa sugerir a constru1o de um am9iente de rede seguro5 sa9e8se que a norma adotada5 a NBR IS!I"C #$$%%5 dentre os seus captulos5 procura alcanar os mais 3ariados aspectos de uma segurana organiCacional5 que por ser um assunto 9em amplo5 n1o ser1o considerados em sua ntegra5 mas ter1o o apoio dos recursos conseguidos com o n3el de segurana C(5 e a@ustes em n3el de Dernel e 2S"RSPAC": "ste tra9alho tem como o9@eti3o tam9Am5 sugerir solues pr?ticas com o au6ilio da BS$$%%5 implementaes de polticas de segurana5 e que os riscos se@am fortemente diminudos: "ste tra9alho5 tam9Am ser3ir? como incenti3o e cola9ora1o5 inspirando outros acad0micos a somar com o mesmo: 1.3 Escopo e Metodologia "ste tra9alho de monografia tem como estudo de caso o am9iente da empresa 2RCB+)5 e neste ser? realiCado um le3antamento de requisitos e an?lise da situa1o atual do am9iente: Baseando8se nos resultados desta an?lise5 ser1o ela9oradas 3?rias sugestes e propostas de hardenin do sistema como um todo: s tra9alhos de le3antamento e an?lise foram realiCados a partir do m0s de @ulho atA meados de outu9ro de (..K5 durante os hor?rios de folga e fora do e6pediente de tra9alho: #; Para melhor organiCar a e6ecu1o do tra9alho5 o mesmo foi segmentado em tr0s partes5 sendoG coleta de informaes5 an?lise e sugestes para a melhoria das polticas e pr?ticas de segurana atra3As dos resultados da an?lise: /urante a coleta o9ser3ou8se que algumas polticas e controles @? esta3am sendo aplicadas no am9iente em estudo: s questionamentos utiliCados para coletar os dados ti3eram como refer0ncia a documenta1o TKU5 mas foram modificados e adaptados pelo autor deste tra9alho: Apenas foram considerados os itens da norma de segurana IS!I"C #$$%%G(..F pertinentes ao am9iente em estudo: Bam9Am no processo de coleta5 criou8se um mecanismo pr7prio de pontua1o dos itens: Na parte de an?lise5 realiCou8se a 3alida1o das questes le3antadas na etapa anterior e realiCou8se a pontua1o de cada item: "m outra etapa conta9iliCou8se a pontua1o total dos itens e realiCou8se sugestes 9aseadas nos resultados que possam melhorar o controle e aumentar a segurana do am9iente computacional como um todo: Como o tema deste tra9alho A 9astante amplo e seu o9@eti3o atual n1o A a implementa1o5 o mesmo n1o se aprofundar? em questes operacionais so9re como faCer e sim dir? o que de3e ser feito5 3isando manter seus interesses cientficos e 3ia9iliCando o uso como fonte de pesquisa e refer0ncia para outros tra9alhos futuros: s interessados em utiliCar este tra9alho como fonte de pesquisa e tal3eC implementa1o5 de3em 3erificar as refer0ncias: 1.4 Estado da Arte A cada dia a segurana da informa1o se torna o assunto mais falado e discutido dentre os muitos importantes para o administrador de BI: *?rias fontes de consulta e ferramentas de hard-are ser3em como consulta a refer0ncias para a pre3en1o do sistema de informa1o: 2ma confirma1o disso s1o as no3as normas que surgem5 como a IS!I"C ($..#5 que 30m su9stituir a norma BS8 $$%% part(5 tratando de Sistemas de ,est1o de Segurana da Informa1o: Sua utiliCa1o est? diretamente relacionada L IS!I"C #$$%%G(..F T#.U: #I A pu9lica1o da IS!I"C ($..#G(..F A aguardada h? algum tempo ansiosamente pelo mercado5 pois trata de questes de prote1o das informaes5 de ameaas e 3ulnera9ilidades5 diminuindo riscos5 garantindo a continuidade dos neg7cios5 a conformidade aos requisitos legais5 regulamentares e ainda preser3ando a imagem da empresa: Prote1o essa a partir de implementaes de 3?rios controles como5 por e6emplo5 polticas5 procedimentos5 recursos de soft-are e de hard-are5 englo9ando pessoas5 processos e sistemas de Becnologia da Informa1o: A maioria das organiCaes5 independentemente do seu porte ou ?rea de atua1o5 podem usar como refer0ncia a norma IS I"C ($..#G(..F T#.U: A pu9lica1o desta norma demonstra a importJncia conquistada pela segurana da informa1o5 sendo perce9ida atA como fator estratAgico de neg7cio L qualquer empresa: Para fornecer suporte a IS I"C ($..#G(..F5 a equipe da IS!I"C5 criou uma famlia de normas so9re gest1o da segurana da informa1o5 chamada de sArie ($...: "m no3em9ro de (..K5 foram homologadas as seguintes normas e pro@etos de normas da sArie ($...G IS I"C NQIP ($...5 Information )ecurit. &anaement ).stems 3 6undamentals and 7ocabular.5 IS I"C ($..#G(..F5 Information )ecurit. &anaement ).stems3 Requirements5 IS I"C ($..(G(..F5 Information Technolo. 8 Code of practice for information )ecurit. &anaement5 IS I"C # st Q/ ($..;5 Information )ecurit. &anaement ).stems3 Implementation Guidance5 IS I"C (nd Q/ ($..I5 Information )ecurit. &anaement3 &easurements5 IS I"C (nd C/ ($..F5 Information )ecurit. &anaement ).stems3 Information )ecurit. Ris4 &anaement! #F 1.5 Orgai!ao do "rabal#o "ste tra9alho de conclus1o de curso est? estruturado e di3idido em K captulos5 sendo que o captulo #5 contAm uma introdu1o so9re o tra9alho5 moti3aes da pesquisa e proposta de implementa1o: No captulo (5 encontram8se conceitos de um permetro de rede5 e6emplificando o permetro atual da empresa 2RCB+)5 usada como estudo de caso e uma sugest1o de modificaes no permetro para minimiCar suas poss3eis 3ulnera9ilidades depois de uma an?lise crtica5 @ustificando as mesmas: No captulo ;5 ser1o apresentados os n3eis de segurana5 suas su9di3ises5 recursos utiliCados e 9enefcios adquiridos: No captulo I5 A apresentada uma proposta de hardenin do 4ernel5 que se trata de uma customiCa1o e otimiCa1o do Dernel atra3As de a@ustes de segurana5 recursos utiliCados e 9enefcios adquiridos com a aplica1o do patch )I/S e algumas alternati3as a ele com *A9 e )E:I';9: No captulo F5 encontram8se algumas consideraes so9re as polticas de segurana implementadas5 compati9iliCando8as com os requisitos5 apresentando a an?lise e os resultados conseguidos com sua implementa1o: No captulos K5 s1o realiCadas algumas consideraes finais so9re o tra9alho e uma an?lise conclusi3a do mesmo: 2. $!r%m!tro d! R!d! 2.1 $%da&etao "e'rica A origem da IS!I"C #$$%% ocorreu no final da dAcada de H.: "m #%H$5 no Reino 2nido5 o /BI criou o CCSC para au6iliar as companhias 9ritJnicas que comercialiCa3am produtos5 e precisa3am de critArios para a3alia1o da segurana T#.U: "m #%%F5 esse c7digo foi re3isado e pu9licado como uma norma 9ritJnica BS5 a BS$$%%G#%%F: A 3ers1o aplicada em pases de lngua portuguesa A a NBR IS!I"C #$$%% T#.U: #K As pr?ticas BS$$%% e a Norma IS!I"C #$$%%5 t0m como o9@eti3o fornecer recomendaes para a gest1o da segurana da informa1o5 fornecer padres para desen3ol3imento de normas e pr?ticas5 como tam9Am um relacionamento confi?3el entre organiCaes T#;U: As pr?ticas BS$$%% est1o segmentadas em tr0s partesG BS$$%% parte #5 BS$$%% parte ( e BS$$%% parte ;: A BS$$%% parte # A um padr1o pu9licado pelo BSI em #%%F que ap7s 3?rias re3ises fora adotado pela IS!I"C #$$%%5 pr?ticas para o gerenciamento de segurana da informa1o em (...5 re3isada em @unho de (..F e em (..$ espera8se ser re9atiCada de IS!I"C ($..(: A BS$$%% parte (5 fora pu9licada primeiramente em #%%% pelo BSI5 onde s1o definidas todas as especificaes necess?rias para um sistema de gerenciamento de estrutura e controle da segurana da informa1o5 padres de qualidade IS %... e adaptada pela IS!I"C ($..# em no3em9ro de (..F: A BS$$%% parte ;5 fora pu9licada em (..F atuando na an?lise e ger0ncia de riscos5 comparada a IS!I"C ($..# T#;U: n3el C( de segurana apresenta um controle maior que o n3el anterior &C#'5 pre3endo auditoria das aes independentes de cada usu?rio do sistema atra3As do processo de loin: A classe C( A um n3el de segurana mnimo esta9elecido para uso pelo /epartamento de /efesa dos "stados 2nidos: n3el C( tem como requisito a prote1o de acesso controlado: Somente usu?rios autoriCados t0m acesso ao sistema e as operaes do mesmo5 somente s1o realiCadas em modo protegido THU5 T%U: CC fora um resultado de esforos da 2ni1o "uropAia5 "2A e Canad? em criar critArios comuns a serem utiliCados de maneira glo9aliCada: "sse passou por 3?rios a@ustes5 desde #%%K5 e s7 ent1o em #%%%5 quando sua segunda 3ers1o fora homologada5 passou a ser chamado e pu9licado como a norma IS #FI.H TFU: 2.2 (oceit%ao permetro A uma ?rea delimitada por recursos fsicos e ou l7gicos: Bem como o9@eti3o impedir acesso n1o autoriCado e manter a integridade das #$ informaes da organiCa1o: n3el de prote1o de3e ser fornecido de forma a compati9iliCar com os riscos identificados na an?lise do mesmo T#;U: Para conseguir um am9iente seguro5 de3e8se le3ar em considera1o5 tanto aspectos comportamentais e culturais das pessoas5 polticas5 normas e procedimentos internos5 quanto caractersticas fsicas do local5 sem se esquecer de agentes e6ternos ao permetro T#.U: 2.3 )a*o%t do +er&etro da E&presa ,-("M) A figura # n1o h? uma refer0ncia liter?ria5 A um desenho criado como 9ase na topologia e la.out de rede atualmente utiliCada na empresa 2RCB+): A figura demonstra como A realiCada a intercone61o dos ati3os da rede5 como o ser3io de Internet A rece9ido atra3As de um modem e est? conectado a um s-itch que5 concomitantemente5 liga a um sistema de 7oI* e ao fire-all: No fire-all h? uma segunda placa de rede que A conectada a outro s-itch que distri9ui o sinal de Internet Ls demais estaes da rede: #H 6iura <= :a.out Atual do *er>metro de Rede da Empresa ;RCT&: 2.&.1 An'i#! (r%ti)* 9ser3a8se no la.out do permetro atual da rede da empresa 2RCB+) que e6iste apenas uma 9arreira que e6erce a fun1o de ponte entre a rede interna da empresa e o meio e6terno5 a Internet: Nesta situa1o5 a empresa torna8se muito e6posta5 tendo seus riscos aumentados de um poss3el acesso n1o autoriCado L sua rede local: fire-all implementado neste la.out tem como fun1o 9?sica funcionar como ate-a. das m?quinas da rede5 e possui regras simpl7rias de segurana atra3As do IPBAB)"S: "nt1o5 uma 3eC que o poss3el in3asor passe por este fire-all5 n1o ha3er? nenhum o9st?culo que o impedir? de ter acesso e ou manipular as informaes da empresa5 que9rando aspectos de segurana como confidencialidade e integridade dos dados: A figura ( A um desenho criado com 9ase na topologia e la.out de rede da empresa 2RCB+)5 mas com modificaes fsicas o9@eti3ando melhorar a segurana das informaes crticas da empresa em conformidade com as pr?ticas BS$$%% TIU: A figura ( demonstra as modificaes realiCadas na intercone61o dos ati3os da rede: ser3io de Internet A rece9ido atra3As de um modem e que est? conectado a um s-itch ligado a um sistema de 7oI* e ao fire-all de fronteira5 que tem o o9@eti3o de ser o primeiro o9st?culo TIU: No fire-all de fronteira h? duas outras placas de rede que se conectam a outros dois s-itchs, um distri9ui o sinal de acesso a Internet L um pequeno grupo de estaes isoladas da rede de produ1oZ " outra placa de rede distri9ui sinal as estaes de tra9alho e se conecta ao fire-all departamental que ser3e como segundo o9st?culo Ls informaes crticas da empresa5 os ser3idores TIU: #% 2.4 )a*o%t .%gerido para a E&presa ,-("M) 2.+.1 ,u#ti-i)*ti"* ! (on)'u#o As mudanas sugeridas no la.out s1o para proporcionar um aumento significati3o na segurana do permetro da rede: 4oi adicionado um outro fire-all nomeado como fire-all departamental5 que tem como o9@eti3o o isolamento das informaes crticas da empresa que ficam concentradas nos ser3idores5 e somente a rede local ter? acesso5 sal3o por alguma transa1o remota que fora e6plicitamente permitida atra3As do fire-all de fronteira: As estaes ser1o segmentadas para tam9Am aumentar a segurana do que A trafegado entre a rede local e a Internet: 2m dos segmentos ter? acesso a Internet5 mas com restries impostas por um filtro de controle de conteEdo a ser acessado: s demais ter1o acesso sem controle de conteEdo5 mas estar1o protegidos pelo fire-all, que estar% analisando as comunicaes por tr?s de regras de roteamento ou NAB5 n1o dei6ando e6posta a identidade do host que solicitou a requisi1o: (. 6iura ?= :a.out )uerido do *er>metro de Rede da Empresa ;RCT&: As mudanas do la.out5 @untamente com as implementaes de normas5 polticas e n3eis de segurana5 aumentar1o sensi3elmente a segurana do permetro5 fornecendo uma tranquilidade maior ao administrador de redes e L empresa: &. .%"!i# d! S!/ur*n* 3.1 (oceit%ao "m #%H;5 o /epartamento de /efesa dos "2A pu9licou os critArios para a3alia1o de segurana dos sistemas5 o BCS"C &Trusted Computer )ecurit. Evaluation Criteria'5 tam9Am chamado de Rrange BooDS ou R)i3ro )aran@aS5 por causa de sua capa de cor laran@a: Na mesma dAcada alguns pases da "uropa criaram uma 3ers1o de padr1o de segurana5 nomeado como IB"S"C &Information Techonolo. )ecurit. Evaluation Criteria'5 que mais tarde foi renomeada para IB"S"+ &IT )ecurit. Evaluation &anual'5 especificando a mesma metodologia do IB"S"C T(U: Wuanto aos n3eis5 o BCS"C define e classifica quatro di3ises de prote1o5 representadas pelas letras5 /5 C5 B e A5 sendo a letra R/S5 a mnima prote1o e a letra RAS5 a m?6ima prote1o THU5 T%U: documento fora ela9orado com 9ase em tr0s principais o9@eti3osG Proporcionar e incorporar aos produtos dos fa9ricantes5 aspectos de segurana padroniCados5 incenti3ando assim a produ1o em larga escala: 4ornecer aos mem9ros do /epartamento de /efesa dos "2A5 formas de se mensurar a confidencialidade no processamento de informaes @ulgadas como sens3eis: 4ornecer su9sdios para que se@am definidas premissas de segurana nas caractersticas de compra de equipamentos: Segundo o BCS"C5 um sistema para ser considerado seguro5 de3e (# possuir um controle de seus processos de leitura5 escrita5 cria1o e dele1o5 e somente usu?rios de3idamente autoriCados de3em ter acesso ao sistema T(U: N3el de Segurana /5 englo9a sistemas que t0m como caractersticas5 o mnimo de segurana5 e n1o se encai6em em nenhum outro n3el: s microcomputadores que possuem o sistema 9aseado em /S5 s1o e6emplos deste n3el T(U: N3el de Segurana C5 fornece uma prote1o ar9itr?ria em n3el de o9@etos: Por e6emploG &arqui3os5 diret7rios5 dispositi3os5 entre outros'5 mecanismos onde s1o atri9udas as permisses a usu?rios ou grupo de usu?rios: "ste n3el A su9di3idido em duas classes5 C# e C( T%U: A classe C#5 possui prote1o com segurana ar9itr?ria5 com mecanismos que possam impor limites e impeam o li3re acesso dos usu?rios5 atra3As de identifica1o dos mesmos: A classe C(5 fornece prote1o com controle de acesso5 com um a@uste mais detalhado em rela1o L classe C#: Atra3As de autentica1o dos usu?rios5 s1o registrados todos os e3entos que posteriormente poder1o ser auditados: Bam9Am s1o restringidos acessos L ?rea pri3ada da mem7ria T(U: n3el de segurana B5 A uma segurana o9rigat7ria para o9@etos BCB &Trusted Computin /ase@5 e um con@unto de mecanismos e parte do sistema5 incluindo5 hard-are, soft-are e firm-are5 respons?3el em fornecer e aplicar prote1o ao meio computacional: Bem como principal o9@eti3o garantir a integridade dos r7tulos de controle que s1o associados a cada o9@eto: n3el B A su9di3idido em tr0s classesG B#5 B( e B; T(U: A classe B#5 englo9a todas as premissas da classe C( e mais outros mecanismos de controle de segurana5 comoG 3incula1o de r7tulos de segurana aos dados e um mecanismo de controle de acesso o9rigat7rio: A classe B(5 possui as caractersticas da B#5 e o9edece ao modelo formal de BCB5 possuindo mecanismos que impem controle de acesso ar9itr?rio e o9rigat7rio ampliado a todos os usu?rios e o9@etos do sistema computacional5 mantendo a integridade do sistema durante sua opera1o: (( A classe B;5 reEne as caractersticas das classes anteriores5 e A capaC de operar como monitor de refer0ncia5 onde todos os acessos dos usu?rios e o9@etos do sistema s1o intermediados5 e imune L adulteraes: BCB A 9em simples5 mantendo apenas c7digos essenciais para implementa1o das polticas de segurana e A um mecanismo de auditoria a3anado e capaC de alertar ocorr0ncias de e3entos suspeitos possuindo procedimentos de recupera1o do sistema5 caso ocorra alguma 3iola1o T(U: 4uncionalmente5 o N3el de Segurana A5 A equi3alente aos sistemas da classe B;5 o que diferencia os dois A a an?lise 9aseada em tAcnicas de 3erifica1o e especificaes formais do pro@eto do sistema5 atri9uindo assim L BCB a garantia que a mesma fora implementada corretamente T(U: (lasses de +roteo -e/%isitos 0 (1 (2 11 12 13 A1 Auditoria N C e A A A [ ,erenciamento de Configura1o N [ C e A An?lise de Canais Secretos N C A /ocumenta1o do Pro@eto N [ A C e A A C e A *erifica1o e "specifica1o do Pro@eto N C e A A C e A R7tulos nos /ispositi3os N [ [ Controle de Acesso Ar9itr?rio N C e A [ [ C e A [ "6porta1o de Informa1o Rotulada N [ [ [ +ultin3eis N [ [ [ "6porta1o para /ispositi3os com N3el \nico N [ [ [ Identifica1o e Autentica1o N A C [ [ [ Integridade dos R7tulos N [ [ [ Rotula1o de Sada )eg3el N [ [ [ R7tulos N C [ [ Controle de Acesso 9rigat7rio N C [ [ ReutiliCa1o de 9@etos N [ [ [ [ ,uia do 2su?rio dos Recursos de Segurana N [ [ [ [ [ (; (lasses de +roteo Beste de Segurana N A N C e A C e A C e A R7tulo de Segurana nos 2su?rios N [ [ Arquitetura do Sistema N A A N A [ Integridade do Sistema N [ [ [ [ [ /ocumenta1o para Bestes N [ [ A [ A /istri9ui1o Segura N Recurso de ,erenciamento Confi?3el N A [ +anual dos Recursos de Segurana N A A A A [ Rota Segura N C [ Recupera1o Segura N [ T*b!'*1G Relacionamento dos requisitos com as classes de prote1o do )i3ro )aran@a: T#I5 pag I$%U A classifica1o resumida de cada classe est? na ta9ela5 na qual associa8 se cada ser3io e6igido L cada classe: Nesta ta9ela5 considera8se o seguinteG 2m espao em 9ranco indica que o requisito n1o A necess?rio na respecti3a classe: A letra A indica que o requisito n1o A necess?rio em classes com n3el de prote1o inferior e A adicionado L classe referida: sm9olo 0 indica que o requisito na classe em quest1o A igual ao e6igido na classe com n3el de prote1o inferior: A letra . indica que uma no3a defini1o su9stitui a defini1o feita em uma classe inferior: A letra ( indica que o requisito aparece em classe com n3el de prote1o inferior5 porAm A modificado na classe em quest1o T(U: A ta9ela # demostra a classifica1o das classes de prote1o ou como os n3eis de segurana agem em cada um dos requisitos de segurana da informa1o: relacionamento A feito para melhor e6plicar qual classe de segurana compreende um determinado requisito: A miss1o do Administrador de Redes ou Analista de Segurana A definir (I o n3el de segurana que ser? aplicado em determinado permetro da rede: > importante destacar que quanto mais se fechar a segurana5 mais insens3el se tornar? o am9iente5 causando assim5 uma certa irrita9ilidade e impacto aos funcion?rios: profissional de segurana de3e 9uscar no funcion?rio um aliado5 con3encendo e afirmando que ele A uma pea importante no processo de implementa1o de uma poltica de segurana5 independente do n3el: AlAm disso5 de3e ter sempre o neg7cio e a miss1o da empresa como o foco principal T#U: 3.2 -ec%rsos ,tili!ados Neste tra9alho utiliCou8se como refer0ncia a norma NBR IS!I"C #$$%%5 as pr?ticas para a gest1o de segurana da informa1o BS$$%%5 e o n3el de segurana C(5 9uscando prote1o ar9itr?ria que permita o controle mais rgido dos recursos do sistema5 atra3As de autentica1o5 registro de lo e auditoria: "st1o agregados ao n3el C( a prote1o com segurana ar9itr?ria da classe C# e a disponi9iliCa1o de mecanismos que impeam o acesso li3re dos usu?rios aos recursos do sistema5 com poss3el identifica1o de cada usu?rio ou grupo: utro recurso utiliCado para criar o am9iente com o n3el de segurana proposto5 A o )I/S &:inu, Intrusion Detection ).stem': "ste recurso A um patch de segurana no n3el de Dernel5 que tem como o9@eti3o capacitar o sistema com uma segurana do tipo +AC &&andator. Access Control': )I/S transforma a maneira como o sistema funciona5 atA mesmo o usu?rio root5 com todos os seus poderes5 estar? limitado: Bodas as chamadas de sistema ser1o interceptadas e gerenciadas pelo )I/S T#(U: (F Para e6emplificar um sistema sem o uso do )I/S5 considere a figura ;5 que mostra uma 3is1o macro do funcionamento do sistema: Bodas as chamadas de sistema realiCadas na ?rea de atua1o do usu?rio s1o encaminhadas para o Dernel5 considerando somente o I/ do usu?rio para identificar e classificar se este tem o direito de e6ecutar tal chamada T#(U: A figura I e6emplifica um sistema com o )I/S: Assim quando o )I/S A configurado5 A acrescido ao sistema uma camada que ser3e para gerenciar todas as chamadas do sistema5 permitindo o acesso ao espao do Dernel apenas Ls chamadas que tenham sido pre3iamente permitidas a partir de uma poltica de (K 6iuraA= 7is"o do )istema sem o :ID)! BAC, pa <D 6iuraE= 7is"o do )istema com o :ID)! BAC, pa ?D uso5 RcapabilitiesF: Ap7s a implementa1o do )I/S5 todos os aplicati3os para serem e6ecutados de3er1o ter suas capabilities definidas5 caso contr?rio n1o ir1o funcionar T#(U: 3.3 1eefcios Ad/%iridos A implementa1o destes recursos n1o pro3a ou garante que uma organiCa1o este@a #..] segura: +esmo que todas as ati3idades parassem5 n1o h? como garantir uma segurana completa: "ntretanto5 adotando8se certos padres5 normas e n3eis de segurana5 conquista8se certas 3antagens: As polticas de segurana em uma organiCa1o ser3em para garantir o compromisso e os esforos em 9usca da segurana da mesma: No meio operacional e de rela1o humana5 o9tAm8se um melhor conhecimento das fraqueCas do sistema5 9em como a melhor maneira de proteg08lo5 melhorando a consci0ncia dos cola9oradores em rela1o L segurana dentro da empresa: utros 9enefcios em rela1o L segurana do sistema A um maior controle de todas as ati3idades que s1o e6ecutadas5 independente do autor ou do ser3io solicitado de chamada L este5 diminuindo5 assim as 9rechas na segurana do mesmo T#U: +. $ro1o#t* d! 2ardeig 1*r* um S!r"idor $ire3all 4.1 (oceit%ao Gardenin nada mais s1o do que procedimentos de segurana5 ou tAcnicas para a@ustes personaliCados em um sistema: "stes procedimentos t0m como principal o9@eti3o aumentar a segurana do sistema: Wuando as tAcnicas de hardenin s1o aplicadas5 e6istem tr0s fatores que de3em ser consideradosG segurana5 risco e fle6i9ilidade5 assim equili9rando8os para melhor manter a continuidade do neg7cio e com segurana: N1o e6istem sistemas #..] seguros5 porAm quanto maior a segurana5 menor ser? o risco e ($ fle6i9ilidade5 e5 quanto maior a fle6i9ilidade5 maior o risco e menor a segurana: /e3e8se entender que n1o h? uma regra5 para equil9rio destes fatores5 cada caso de3e ser analisado como Enico5 e nem todas as normas e tAcnicas precisar1o ser implementadas TIU: 4.1.1 -ec%rsos ,tili!ados Como foi comentado anteriormente5 nem todas as normas e tAcnicas t0m a necessidade de serem aplicadas: Neste item ser1o propostas e comentadas algumas tAcnicas: Segurana no Sistema de Arqui3osG quando instalamos um sistema )inu65 as 9oas pr?ticas nos recomendam que os principais diret7rios se@am particionados separadamente5 conseq^entemente5 com sua ta9ela separada: "ste procedimento tam9Am minimiCa uma poss3el perda de dados caso se@a necess?rio uma reinstala1o do sistema: "ssa n1o A a Enica 3antagem encontrada5 a segurana de um particionamento en3ol3e muito mais do que apenas sua separa1o: As parties s1o montadas em diferentes diret7rios e diferentes discos rgidos: Para conseguirmos melhorar a segurana destes pontos5 pode8 se utiliCar o comando mount que possui uma fle6i9ilidade enorme no que tange L restries: Para estar em conformidade com o item #.:I da NBR IS!I"C #$$%%G(..F T;U5 A necess?rio garantir a integridade do soft-are e da informa1o5 e a CIS S"C2RIBY tam9Am recomenda o controle na utiliCa1o do comando mount: As sinta6es e e6emplos do comando mount podem ser encontrados em sua manpae e na refer0ncia deste TIU: 2tiliCa1o de WuotasG atra3As deste recurso A poss3el um melhor gerenciamento na utiliCa1o do sistema de arqui3os de todos os usu?rios do sistema5 impedindo assim que quaisquer usu?rios ou grupo de (H usu?rios ultrapassem os limites fsicos de armaCenamento dos dados5 e facilitando a mensura do bac4up a ser feito: As quotas de3em ser definidas nas parties e n1o nos diret7rios5 e configuradas no !etc!fsta9 &sistema de arqui3os montados' TIU: Remo1o de Programas &pacotes' /esnecess?riosG mesmo com uma instala1o 9?sica de um sistema )inu65 h? inEmeros programas que de3em ser remo3idos5 principalmente programas R)'i!nt!#S: "ste procedimento apesar de ser ?rduo5 A muito importante e est? em conformidade com o item ##:F:I da NBR IS!I"C #$$%%G(..F T;U5 e a CIS S"C2RIBY tam9Am cita que tais programas desnecess?rios podem ser usados para e6plorar as 3ulnera9ilidades do sistema TIU: Arqui3os com Permiss1o de )uid bitG "ste recurso A muito Etil5 pois A poss3el definir que determinados 9in?rios &e6ecut?3eis'5 somente possam ser e6ecutados por determinados usu?rios5 que geralmente A o root5 administrador do sistema: s 9in?rios que possuem necessidade de remo1o das permisses )uid bit poder1o di3ergir de um am9iente para outro5 portanto recomenda8se uma an?lise prA3ia: "m conformidade com o item ##:K:# da NBR IS!I"C #$$%%G(..F T;U5 o acesso Ls informaes e funes do sistema5 de3e ser aplicado de acordo com o controle de acesso TIU: Segurana no BerminalG quando falamos da segurana no terminal5 de3e8 se considerar que a segurana de3e ser e6terna e interna5 de nada adianta termos uma 7tima segurana de acessos e6ternos5 se n1o h? um controle eficaC de acesso no permetro interno da rede: "m conformidade com os itens ##:F:F e ##:F:K da NBR IS!I"C #$$%%G(..F T;U5 um controle de acesso A necess?rio para que se e3ite acesso n1o8autoriCado ao sistema TIU: ,erenciamento de Pri3ilAgiosG tem como o9@eti3o e3itar que o usu?rio root do sistema &usu?rio administrador'5 tenha acesso diretamente a um terminal do sistema5 facilitando o controle do sistema: Para a e6ecu1o (% de funes do sistema o administrador ir? acessar como um usu?rio comum e posteriormente se tornar root: "m conformidade com o item ##:(:( da NBR IS!I"C #$$%%G(..F T;U5 de3e8se esta9elecer permisses e uso de pri3ilAgios restritos e controlados TIU: Polticas de 2tiliCa1o de Ser3ios de Rede e Ser3ios Ati3os no SistemaG em uma rede de computadores5 as pr?ticas de transferir e compartilhar recursos podem proporcionar um am9iente propcio para 3ulnera9ilidades e falhas se usadas por usu?rios mau intencionados: "ste procedimento 3isa restringir o uso destes recursos L usu?rios que n1o necessitem do mesmo: "m conformidade com os itens ##:I:(5 ##:I:I e ##:I:K da NBR IS!I"C #$$%%G(..F T;U5 o usu?rio s7 de3er? rece9er o pri3ilAgio e6plicitamente autoriCado5 utiliCar controle de acesso l7gico e fsico dos ser3ios e portas TIU: 4.1.2 1eefcios Ad/%iridos A segurana de um sistema de3e partir sempre de uma 9ase de qualidade5 que s1o os pontos de montagem das parties: Com regras simples5 A poss3el conquistar melhor segurana e desempenho do am9iente computacional TIU: Agregado L 9ase de qualidade5 pode8se aplicar o sistema de quotas5 como uma forma eficiente de se ter o controle quantitati3o do que se A armaCenado nos pontos montados5 ou se@a5 nas parties TIU: A remo1o de programas desnecess?rios A importante5 pois a cada dia que passa5 s1o desco9ertas falhas e ou 9rechas nos mais 3ariados programas: +esmo que se instale um sistema operacional :inu, com configura1o mnima5 sempre ha3er? programas que n1o ser1o utiliCados pelo administrador ou pelo pr7prio sistema instalado5 e estes podem passar desaperce9idos pelo procedimento de chec4list e update do sistema5 efetuado regularmente pelo administrador: Consequentemente5 poss3eis falhas e ou 9rechas poder1o ser ;. e6ploradas por pessoas mau intencionadas5 comprometendo a confia9ilidade5 integridade e atA mesmo a disponi9ilidade do sistema TIU: No sistema :inu, e6istem 3?rios arqui3os 9in?rios5 ou se@a5 e6ecut?3eis que por padr1o possuem permiss1o de )uid bit! Isto quer diCer que s1o 9in?rios poss3eis de ser e6ecutados por 3?rios usu?rios do sistema5 e desta forma5 podem ser usados de forma malAfica5 proporcionando uma 9recha na segurana: Apenas os 9in?rios que realmente podem e de3em ser utiliCados por outros usu?rios ou pelo sistema5 de3em possuir esta permiss1o5 do contr?rio5 a mesma de3e ser re3ogada TIU: A segurana no terminal A importante5 pois aumenta a prote1o das cone6es remotas e e3ita poss3eis ataques: Com simpl7rias medidas pode8se conseguir 7tima prote1o ao ser3idor TIU: s pri3ilAgios do sistema tam9Am de3em ser 9em aplicados a todos os usu?rios5 inclusi3e ao root! H? situaes em que mesmo o administrador de3e ter limites: 2ma ferramenta que pode au6iliar 9astante o gerenciamento de pri3ilAgios no sistema A o PA+ &pluable authentication modules, mecanismo que integra mEltiplos n3eis de autentica1o@! *ara mais detalhes de sua aplica1o consulte seu manpae TIU: utro limite que de3e ser imposto no sistema A quanto o acesso aos ser3ios de rede que est1o ati3os: Atra3As deles5 um crac4er pode copiar5 mo3er ou atA mesmo compartilhar recursos com outros sistemas ou hosts: Aplicando limitaes em tais recursos5 aumentamos a segurana em nosso sistema e diminumos as chances de um crac4er encontrar uma 9recha no sistema TIU: Bodas estas medidas s1o importantes quando se dese@a o9ter sistemas seguros: Cada uma das medidas adotadas agregam e complementam umas Ls outras5 cada uma em seu n3el5 mas nem sempre s1o aplic?3eis em todos os casos: Por isso5 de3e8se sempre dosar as tr0s premissasG segurana5 risco e fle6i9ilidade: Ao administrador ca9e a miss1o de realiCar uma an?lise antes da implementa1o: PorAm5 a pre3en1o A a melhor medida a ser adotada TIU: ;# 4.2 "%ig do 4erel 4.2.1 (oceit%ao tuning do Dernel A a realiCa1o de a@ustes detalhados5 finos ao sistema operacional )inu6: Nesta proposta5 o o9@eti3o A que estas modificaes capacitem o sistema a tra9alhar melhor como um fireOall5 e possi9ilitando8as ser modificadas em tempo de e6ecu1o: A manipula1o pode ser feita atra3As do sistema de arqui3o Hproc ou ent1o atra3As da ferramenta s.sctl, que est? dispon3el a partir da 3ers1o (:I do Dernel: Como o o9@eti3o A melhorar a segurana5 o desempenho do ser3idor fire-all e o tratamento dos pacotes da pilha BCP!IP5 de3e8se focar tr0s pontosG tunin BCP5 tunin IC+P e tunin IP TIU: protocolo BCP possui caractersticas que de3em ser lem9radas: s (. 9=tes que faCem parte do ca9ealho s1o importantes para um fire-all, podendo ser 3erificado o estado de uma cone61o: "stas informaes au6iliam na defesa de poss3eis ataques TIU: IC+P A o controle de mensagens do protocolo da Internet5 um moti3o para o tunin IC+P5 A que o pacote IP que carrega a mensagem IC+P pode conter informaes que podem ser utiliCadas com o o9@eti3o de realiCar o finerprint5 tAcnicas de e6tra1o de informaes de um host ou al3o: As polticas do fire-all de3em ser equili9radas quanto Ls solicitaes de IC+P do tipo H &echo request'5 pois os administradores de rede utiliCam com freq^0ncia o ping como ferramenta de diagn7stico: "m um fire-all5 o tunin de IP define de as interfaces de rede poder1o ou n1o trocar pacotes entre si: 4.2.2 .eg%raa do 4erel protocolo BCP tem caractersticas peculiares: Parte das informaes que compem o ca9ealho dos pacotes de3e ser protegida pelo fire-all5 minimiCando riscos com ataques de /oS &nega1o de ser3io' e IP )poofin ;( &falsifica1o de ca9ealho de IP': Dernel do )inu6 possui recursos capaCes de modificar algumas opes no estado da cone61o TIU: Atra3As do protocolo IC+P 3?rias ferramentas s1o capaCes de efetuar diagn7sticos em redes: administrador de3e dosar 9em sua utiliCa1o5 pois sua nega1o completa dificulta o tra9alho do administrador: Recomenda8se a li9era1o de respostas controladas das mensagens do protocolo TIU: A@ustes feitos no protocolo IP s1o muito importantes5 como IP<4RQAR/5 que 9loqueia ou li9era o encaminhamento de pacotes entre as interfaces de redeG o RP<4I)B"R5 que au6ilia na identifica1o dos pacotes de origem e e3ita ataques de IP<SP4IN,: "nfim5 o tra9alho para a@ustes de segurana do Dernel em um ser3idor destinado a tra9alhar como fire-all A importante TIU: 4.2.3 Aplicao do patc# )50. :ID) A um patch de 4ernel5 portanto est? diretamente associado L 3ers1o do 4ernel instalado no sistema: Assim5 a 3ers1o do :ID) que for implementada de3er? ser correspondente L 3ers1o do 4ernel da distri9ui1o :inu, que est? sendo utiliCada T#(U: /entre suas caractersticas est1oG uma 9oa segurana em n3el de Dernel e uma configura1o ro9usta: )I/S funciona entre a 2S"R)AN/ &por$"o da memIria do sistema onde s"o e,ecutadas as aplica$+es dos usu%rios' e a P"RN")SPAC" &por$"o da memIria do sistema onde s"o e,ecutadas as fun$+es em n>vel de 4ernel'5 interceptando as chamadas dos usu?rios do sistema5 atA mesmo do root que se torna um usu?rio comum5 e de acordo com as regras RcompabilitiesS definidas5 s1o encaminhadas ou n1o ao P"RN")SPAC"5 aumentando o controle e a segurana do sistema: AlAm da prote1o5 o administrador pode ser a3isado 3ia e3mail quando o sistema sofrer alguma altera1o ou tentati3a de 9urla ao sistema TIU: /entre os recursos e 9enefcios do )I/S podemos citarG ;; &andator. Access Controls &+ACs'5 todos os pedidos para acesso a recursos do sistema s1o su9metidos aos controles de acesso5 atA mesmo o super usu?rio RrootS5 o9edece tais regras esta9elecidas: /etec1o de *ort )canners= consegue8se minimiCar a a1o de scanners L 9usca de falhas ou 3ulnera9ilidades na rede: Prote1o de acesso a arqui3os e pastas &incluindo o root'G torna o sistema 9astante fle63el5 podendo8se definir permisses diferentes para pastas diferentes: As pastas crticas de configura1o do sistema podem ter permiss1o somente leitura e as outras permisses tam9Am5 como gra3a1o e modifica1o5 e6ecu1o5 dele1o: 4.2.4 Alterativas de .eg%raa N? foi 3isto que a ferramenta :ID) A indispens?3el ao administrador de sistemas :inu,5 por proporcionar uma segurana e6tra e significati3a: AlAm do :ID) h? outras ferramentas no mercado que tam9Am cumprem seu papel de forma semelhante5 mas cada uma com suas peculiaridades: *A9 A tam9Am um patch para o Dernel do )inu65 que implementa muitas mudanas no sistema5 proporcionando8o maior segurana e esta9ilidade: *A9 traC uma proposta e6tremamente eficiente quando se fala de pro9lemas de 3ulnera9ilidades de aloca1o de mem7ria no :inu,= os buffer overflo-s e outras 3ariantes que 9uscam e6ploraes que d0em ao atacante permisses de leitura e escrita em determinadas ?reas da mem7ria do address space T#FU: *A9 funciona de modo a pre3enir e6ecues ar9itr?rias de c7digos para aloca1o de mem7ria n1o permitida no sistema: *A9 se utiliCa de tr0s n3eis distintos para determinadas tAcnicas de e6plora1oG introdu1o e e6ecu1o de c7digos ar9itr?rios5 e6ecu1o de c7digos fora da ordem original do programa5 e6ecu1o de c7digos dentro da ordem original do programa usando dados ar9itr?rios: 2ma das principais mudanas que o *A9 causa no sistema A a randomiCa1o do buffer de sadaG o return address T#FU: ;I S")IN2X &)ecurit.3Enhanced :inu,' T#;U A uma implementa1o de uma fle63el e refinada arquitetura +AC &&andator. Access Control': S")IN2X pro30 uma poltica de segurana so9re todos os processos e o9@etos do sistema 9aseando suas decises em labels contendo uma 3ariedade de informaes rele3antes L segurana: A l7gica da poltica de tomada de decises A encapsulada dentro de um simples componente conhecido como ser3idor de segurana &securit. server' com uma interface geral de segurana T#;U: )E:I';9 A parte integrante de algumas distri9uies )inu6 como o 4edora Core e a Red Hat "nterprise )inu6 T#;U: A principal caracterstica A a limita1o das aes dos usu?rios e programas aplicando polticas de segurana em todo o sistema: Wuando o sistema n1o est? implementado com o S")IN2X5 alguns erros de soft-are ou alteraes de configura1o podem tornar o sistema mais suscet3el a falhas e ou 3ulnera9ilidades: Assim5 as polticas do S")IN2X fornecem segurana e6tra contra o acesso n1o autoriCado T#;U: 2. $o'%ti)*# d! S!/ur*n* 5.1 (osidera6es Wuando fala8se em Polticas de Segurana5 de3e8se ter em mente primeiro o conceito de segurana da informa1o e o que se pretende com as mesmas: Segurana da Informa1o tem como o9@eti3o proteger os usu?rios5 as informaes5 o negocio em si5 sem esquecer8se de manter a disponi9ilidade do ser3io: As etapas de uma implementa1o de Segurana da Informa1o podem ser resumidas emG Poltica5 Normas5 Padres e Procedimentos: "stas etapas est1o interligadas de forma hier?rquica T#U5 T##U: Como pode ser o9ser3ado na figura F5 A realiCada uma interliga1o entre as tr0s etapas da implanta1o de segurana da informa1o e as ?reas de atua1o dentro da empresa: A ?rea estratAgica define todos os ati3os que de3em estar seguros na empresa e tam9Am as polticas de segurana que ser1o ;F necess?rias para essa prote1o T#U5 T##U: 6iuraJ= Etapas da )euran$a da Informa$"o representa por uma pirKmide BE, pa ?D A parte t?tica tem a responsa9ilidade de definir o que de3er? ser feito5 para garantir que as polticas definidas se@am eficientes e a parte operacional refere8se L aplica1o das polticas e t?ticas definidas T#U5 T##U: Antes de se definir quais Polticas de Segurana ser1o utiliCadas5 de3e8 se realiCar uma an?lise e faCer as perguntasG que se espera alcanar_ Wuais ati3os pretende8se proteger_ nde est1o localiCadas as informaes da empresa_ 9tendo as respostas5 de3e8se a3aliar e definir quem de3er? ter permiss1o de acesso aos ser3idores ou Ls informaes neles contidos: utro t7pico que de3er? ser definido A em rela1o ao n3el de segurana5 mas sempre focando no neg7cio da empresa5 antes de se definir esses parJmetros: Pois quanto mais limitado for o acesso5 mais insens3el se tornar? o am9iente5 causando insatisfaes aos usu?rios T#U: usu?rio de3e ser en3ol3ido no processo de implanta1o das Polticas ;K Tti)o .orm*# O1!r*)ion*' $*dr3!# ! $ro)!dim!nto# E#tr*t4/i)o $o'%ti)*# de Segurana: "sse en3ol3imento pode ser atra3As da realiCa1o de treinamentos5 palestras5 enfim demostrando os riscos que a empresa e suas informaes est1o correndo5 e quais s1o as tAcnicas que podem ser utiliCadas para minimiCar esses riscos: > tam9Am importante mostrar a rele3Jncia destas mudanas 9em como essas podem contri9uir para o crescimento e amadurecimento da empresa T#U: 5.2 (ofor&idade co& -e/%isitos 2m 9om ponto de partida para a implementa1o de segurana da informa1o A a defini1o de quais controles ser1o implementados dentre os 3?rios e6istentes na norma considerada: A NBR IS!I"C #$$%% faC 3?rias recomendaes aos respons?3eis que implementar1o ou manter1o a segurana da organiCa1o: As recomendaes de3er1o ser selecionadas de acordo com sua necessidade e aplica9ilidade T;U: A norma de segurana A di3idida em #F itens5 cu@os controles macros s1oG Poltica de Segurana: Segurana rganiCacional: Classifica1o e Controle dos Ati3os da Informa1o: Segurana Relacionada ao Pessoal: Segurana 4sica e do Am9iente: ,erenciamento de peraes e Comunicaes: Controle de Acesso: /esen3ol3imento da Segurana de Sistemas: ,est1o da Continuidade do Neg7cio: Conformidade: Cada um destes controles possui 3?rias outras su9di3ises conforme a ;$ NBR IS!I"C #$$%%5 algumas premissas de3em estar em conformidade com a Confidencialidade5 Integridade e a /isponi9ilidade T#IU: s controles utiliCados neste tra9alho s1oG Poltica de Segurana5 Segurana rganiCacional5 Segurana Relacionada ao Pessoal5 Segurana 4sica e do Am9iente5 ,erenciamento de peraes e Comunicaes5 Controle de Acesso e ,est1o da Continuidade do Neg7cio T;U: /entro do controle da Poltica de Segurana tem8se a necessidade de implementa1o de um processo de documenta1o que contenha tudo o que for definido na gest1o da segurana da informa1o: A importJncia do comprometimento de todos funcion?rios neste processo e o material gerado de3er1o ser pu9licados por meio adequado a todos os cola9oradores da empresa5 2RCB+): > essencial que conste na documenta1o os o9@eti3os gerais e a importJncia da gest1o da segurana informa1o5 o apoio claro e e6plcito da ger0ncia e diretoria5 uma 9re3e e o9@eti3a e6plica1o so9re as polticas5 padres e normas que de3er1o ser seguidas: processo de re3is1o e manuten1o peri7dica do sistema de3er? ter um respons?3el que agir? de forma pre3enti3a ou curati3a a quaisquer sinais de riscos ou incidentes de segurana5 como detec1o de 3rus e outros softOares que possam causar algum dano ao am9iente computacional como um todo T;U: A segurana organiCacional o9@eti3a um melhor gerenciamento da segurana da informa1o em uma organiCa1o: Bodos os papAis de3er1o estar 9em definidos e a contrata1o de uma consultoria de empresas terceiriCadas s1o aspectos positi3os na gest1o da segurana: Boda re3is1o ou manuten1o do sistema de3e ser e6ecutada de forma imparcial para garantir que as polticas definidas este@am adequadas Ls pr?ticas da organiCa1o: Caso se@a necess?rio5 de3e8se contratar auditoria e6terna especialiCada: acesso de terceiros dentro das depend0ncias da organiCa1o de3e ser controlado e os riscos de acesso aos ati3os da empresa analisados: /e3e8se identificar o tipo e o moti3o do acesso5 se@a ele fsico &salas5 computadores' ou ;H l7gico &9anco de dados5 sistema de gest1o da empresa' T;U: "mpresas de suporte aos equipamentos e programas n1o necessitam de um acesso pri3ilegiado como parceiros comerciais de auditoria cont?9il5 que precisam acessar e em alguns casos5 manipular informaes da empresa com 9ase nestas informaes5 aplicar polticas necess?rias que este@am de comum acordo com as mesmas: Com rela1o L segurana do pessoal5 A importante trein?8los e educ?8los5 para que os mesmos se conscientiCem5 operando de forma adequada o meio computacional e minimiCando os riscos de segurana: /iante desta conduta5 A poss3el minimiCar sensi3elmente os incidentes T;U: A segurana fsica5 en3ol3e aspectos importantes dentro da organiCa1o5 impedindo o acesso n1o autoriCado: 2ma organiCa1o das informaes comoG papAis e mdias eletrVnicas no pr7prio local de tra9alho pode diminuir considera3elmente acessos n1o autoriCados ao sistema: 2m permetro de segurana A algo que constitui um o9st?culo: +ais detalhes so9re as diretriCes de controle fsico podem ser encontrados na Norma Internacional de gest1o da segurana da informa1o5 NBR IS!I"C #$$%% T;U: controle de gerenciamento de comunica1o e operaes 3isa garantir uma segura e correta opera1o dos procedimentos da gest1o de segurana: Procedimentos padres para o gerenciamento de incidentes de3em ter responsa9ilidades 9em definidas: Wuanto L co9ertura dos riscos em potencial5 alguns tipos podem serG 4alhas nos sistemas de gest1o da informa1o e perda do ser3io: Nega1o de ser3io: "rros resultantes de dados com a integridade comprometida: *iola1o de confidencialidade: s tipos de planos de recupera1o do sistema em casos de incidentes5 podem serG ;% /iagnosticar e identificar das poss3eis causas do incidente: Pro@etar aes que impeam a duplicidade na ocorr0ncia do incidente: Catalogar e documentar todas a aes e amostras dos incidentes: Informar a todos que foram afetados pelo incidente ou en3ol3idos com a recupera1o dos dados: Bodas as pro3as de3em ser recolhidas e guardadas com segurana para futuras an?lises do pro9lema: Bodas as aes de recupera1o e corre1o de falhas5 de3em ser e6ecutadas de maneira formal e com critArios5 tendo tudo documentado em detalhes5 e com acesso apenas Ls pessoas de3idamente autoriCadas aos dados do sistema T;U: A prote1o e controle contra soft-ares maliciosos tam9Am chamados de mal-ares < , o9@eti3a proteger a integridade das informaes do sistema e alguns controles de3em ser consideradosG Proi9ir a instala1o e utiliCa1o de soft-ares n1o autoriCados: Bransfer0ncia de arqui3os ou soft-ares do meio e6terno para o am9iente corporati3o e conscientiCar so9re as formas e aes a serem tomadas nestes casos: Instala1o e atualiCa1o peri7dica de soft-ares de anti83rus e realiCar treinamento para que os pr7prios cola9oradores possam 3arrer quaisquer mdias eletrVnicas que adentrem Ls depend0ncias da empresa5 pre3enindo poss3eis incidentes: Pro@etar tarefas que garantam a continuidade do neg7cio e a r?pida recupera1o no caso de incidentes: controle e gerenciamento da rede tem como o9@eti3o a prote1o da infra8estrutura5 o permetro e suas fronteiras5 inserindo uma prote1o e6tra Ls # Pequenos programas criados com o o9@eti3o de e6ecutar tarefas malAficas em um am9iente computacional T#;U: I. informaes que trafegam pela rede atra3As de controles de conteEdo T;U: controle de acesso e suas polticas de3em ser documentados e esclarecidos de forma e6plcita5 os direitos de cada usu?rio atra3As de declara1o ou termo de compromisso com todos os requisitos a serem cumpridos: As regras podem ser aplicadas a um usu?rio ou a um grupo de usu?rios que possuem restries em comum: gerenciamento do usu?rio5 de seus pri3ilAgios e senhas tam9Am de3em ter procedimentos formais e e6plcitos atra3As do termo5 atendendo todo o ciclo de 3ida do usu?rio que ter? acesso ao sistema: Seu cadastramento de3e possuir identifica1o Enica para uma melhor aplica1o de pri3ilAgios e controles a cada fun1o ou tarefa e6ercida pelo mesmo T;U: Ap7s o cadastramento dos usu?rios5 senhas e a aplica1o dos pri3ilAgios necess?rios5 de3e8se monitorar o uso dos recursos do sistema5 garantindo uma efic?cia dos controles adotados e 3erificando se este est? em conformidade com o modelo de poltica de acesso que fora definido: monitoramento 3isa auditar hor?rios de acesso ao sistema5 identificar o usu?rio5 identificar acessos que foram concedidos ou negados5 programas e utilit?rio usados T;U: gerenciamento da continuidade do neg7cio de3e possuir mecanismos que possi9ilitam a identifica1o dos riscos5 reduCindo8os e garantindo a retomada das ati3idades em tempo aceit?3el: "m posse destas informaes5 A poss3el 3erificar a conformidade com os requisitos T;U: 5.3 Apresetao e A7lise dos -es%ltados /entro do conte6to da normati3a NBR IS!I"C #$$%%5 h? inEmeros controles que podem ser aplicados dentro de uma empresa5 mas e6istem 3?rias particularidades entre uma e outra5 e nem sempre um controle de3er? ser aplicado: Resumindo5 n1o e6iste uma receita pronta para o Administrador de Redes utiliCar e aplicar: Para ser computada a pontua1o e consequentemente conhecer o n3el de recursos que de3er1o ser re3istos5 adaptados e ou implantados5 quando um I# item questionado atingir #..]5 este 3aler? um ponto5 F.] ` ponto5 (F] a de ponto e .] . ponto TKU: As ta9elas utiliCadas para reunir os resultados de cada item das polticas de segurana ti3eram apenas como refer0ncia o la.out5 todas as perguntas5 forma de pontua1o e recomendaes foram produCidas com 9ase no am9iente computacional da empresa utiliCada no estudo de caso e dados da empresa 2RCB+) TKU: A ta9ela ( apresenta tr0s itens que foram questionados com rela1o Ls documentaes que muitas 3eCes s1o esquecidas ou n1o A dada a de3ida importJncia por inEmeros administradores de rede: A pr?tica de documenta1o das polticas de segurana dentro da empresa tem como o9@eti3o registrar tudo que for definido5 para posteriormente ser3ir como critArio de co9rana: Registrar todas as polticas de segurana que de3er1o ser aplicadas5 definir os papAis de cada funcion?rio5 a forma mais clara poss3el nas quais de3er1o ser pu9licadas as documentaes5 a forma e a freq^0ncia de3er1o ser a3aliadas e atualiCadas5 s1o etapas indispens?3eis: apoio e o en3ol3imento da administra1o da empresa nesta etapa A de suma importJncia TKU5 T;U: Na ta9ela ( so9re a documenta1o da poltica de segurana pode8se notar sensi3elmente que h? muito a ser feito: H? a necessidade de se criar ou melhorar as documentaes: A pontua1o n1o foi satisfat7ria5 pois a que poderia ser alcanada A de $ pontos de acordo com o critArio comentado anteriormente5 mas somente pontuou # ponto TKU5 T;U: Do)um!nt*o d* $o'%ti)* d! S!/ur*n* 5Ad!r6n)i* G'ob*'7 It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 &: Presena Botal 5199;7 1. ADMI.ISTRA<=O E A$OIO DAS $OL>TI(AS DE SEGURA.<A DA I.FORMA<=O #:# A administra1o possui apoio e orienta1o em rela1o a segurana da informa1o_ 6 (F] A administra1o de3er? estar mais en3ol3ida com a gest1o da segurana I( It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 &: Presena Botal 5199;7 #:( A administra1o demostra seu compromisso e apoio5 dentre as definies de controle da segurana da Informa1o_ 6 F.] da informa1o da empresa: 2. DO(UME.TA<=O 8UE DEFI.IR? TODA AS $OL>TI(AS DE SEGURA.<A DA I.FORMA<=O (:# As Polticas apro3adas pela administra1o foram di3ulgadas a todos os cola9oradores de maneira clara e de f?cil acesso_ 6 .] (:( "st1o inclusos na documenta1o os o9@eti3os e o escopo das Polticas de Segurana5 uma 9re3e e6plica1o das polticas de segurana5 e as consequ0ncias do n1o cumprimento Ls e6ig0ncias que foram normatiCadas_ 6 .] (:; Na documenta1o constam todas as responsa9ilidades pelo gerenciamento da segurana e notifica1o L pessoa respons?3el em caso de incidentes_ 6 .] > de suma importJncia que todas as Polticas de Segurana apro3adas pela administra1o5 se@am pu9licadas de maneira acess3el e com linguagem clara a todos os cola9oradores da empresa: Bam9Am constando todos os direitos e de3eres de cada cola9orador: &. DO(UME.TA<=O DAS $OL>TI(AS DE SEGURA.<A DA I.FORMA<=O 5REVIS=O E AVALIA<=O7 ;:# Cada Poltica definida possui uma pessoa respons?3el em prestar manuten1o e re3isar de acordo com o que fora definido_ 6 .] 2m gestor de3er? ser definido5 este ser? o respons?3el pela manuten1o e re3is1o das Polticas de Segurana que foram definidas e apro3adas pela /ire1o: ;:( H? re3ises peri7dicas agendadas e 3alidadas em rela1o a sua efic?cia_ 6 (F] +esmo sem um gestor definido5 e6istem procedimentos pre3enti3os para minimiCar as 3ulnera9ilidades5 porAm ser1o mais eficaCes criando8se um cronograma de todos os procedimentos: T*b!'* 2: Controle da Norma NBR IS!I"C #$$%% 8 /ocumenta1o da Poltica de Segurana TKU A ta9ela ; apresenta dados em rela1o a administra1o organiCacional da segurana dentro da empresa: "sta etapa est? diretamente interligada com a etapa de documenta1o onde s1o 3alidados os papAis e atri9uies de cada pessoa en3ol3ida e os cronogramas para a re3is1o das polticas definidas TKU5 T;U: I; S!/ur*n* Or/*ni@*)ion*' 5Ad!r6n)i* G'ob*'7 It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 &: Presena Botal 5199;7 1. ADMI.ISTRA<=O ORGA.IAA(IO.AL DA SEGURA.<A #:# A administra1o organiCacional est? definida com os papAis e atri9uies de cada pessoa en3ol3ida_ 6 (F] #:( H? alguma empresa de consultoria que presta ser3io terceiriCado em rela1o a gest1o da segurana5 mantendo a empresa ou o gestor atualiCado com as no3idades_ 6 .] #:; As re3ises e manutenes s1o ministradas de forma neutra e imparcial para garantir que as Politicas definidas este@am adequadas com rela1o Ls pr?ticas_ 6 .] #:I acesso fsico e l7gico de terceiros dentro das depend0ncias da empresa est? sendo monitorado e 3alidado de acordo com as Polticas definidas_ 6 (F] A administra1o de3e ser mais en3ol3ida e au6iliar nas definies dos papAis de cada um: Se necess?rio5 de3e8se contratar os ser3ios de consultoria de uma empresa e6terna: 2m maior controle das re3ises e manuten1o de3e ser implementado: T*b!'* &: Controle da Norma NBR IS!I"C #$$%% 8 Segurana rganiCacional TKU No quesito Segurana rganiCacional5 tam9Am h? uma alta defici0ncia5 pois de I pontos poss3eis de serem alcanados5 apenas conquistou8se ` ponto: A administra1o precisa estar mais presente nas definies dos papAis5 solicitar consultoria e6terna se necess?rio5 monitorar e 3alidar o que for definido TKU5 T;U: Na ta9ela I s1o apresentados an?lise e resultados de questes de segurana en3ol3endo pessoas5 por isso o en3ol3imento de todos os funcion?rios A muito importante: Breinamentos regulares de3em ser realiCados para au6iliar na conscientiCa1o e comprometimento de todos: Bam9Am A necess?rio um termo de compromisso com a confidencialidade das informaes da empresa TKU5 T;U: II S!/ur*n* R!'*)ion*d* B# $!##o*# 5Ad!r6n)i* G'ob*'7 It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 &: Presena Botal 5199;7 1. ADMI.ISTRA<=O DA SEGURA.<A CS $ESSOAS #:# S1o realiCados treinamentos para a conscientiCa1o de todos so9re como proceder em caso de incidentes ou atA mesmo em casos de suspeita de alguma ameaa dentro do meio computacional da empresa_ 6 F.] #:( "6istem re3ises e atualiCaes peri7dicas destes treinamentos a fim de manter os cola9oradores atualiCados das no3as ameas e de no3as tAcnicas e procedimentos a serem tomados_ 6 (F] /e3e8se criar um cronograma das oficinas de reciclagens5 mantendo assim5 os cola9oradores 9em informados: 2. (OM$ROMISSOS DE (O.FIDE.(IALIDADE DAS I.FORMA<DES (:# S1o orientados todos os cola9oradores so9re o compromisso de n1o di3ulga1o de quaisquer informaes confidenciais ou secretas que lhe s1o fornecidas_ 6 F.] (:( cola9orador assina um termo de compromisso quanto L confidencialidade no momento em que lhe A fornecido acesso a algum recurso computacional da empresa_ 6 (F] Con3Am que os termos de compromissos se@am atualiCados5 tornando8os assim mais a9rangentes e co9rindo todo o meio computacional: u segment?8los de forma que ha@a um termo para cada recurso e6istente: T*b!'* +: Controle da Norma NBR IS!I"C #$$%% 8 Segurana Relacionada Ls Pessoas TKU "sta tal3eC se@a uma das mais importantes etapas da implanta1o de Polticas de Segurana: /e nada adianta toda a tecnologia de ponta5 se@a ela hard-are ou soft-are para proteger os permetros de uma empresa5 se n1o hou3er5 conscientiCa1o5 treinamentos5 educa1o5 apoio e compromisso com a causa dos cola9oradores da empresa: /os I pontos poss3eis5 apenas # ` ponto foi registrado: 2ma aten1o maior A necess?ria para esta9elecer este controle L todos TKU5T#U: Na ta9ela F s1o apresentados questes e resultados relati3os L IF segurana fsica do am9iente computacional5 pois de nada adianta possuir 3?rios mecanismos de controle de acesso e permisses ao sistema5 se o local dos ati3os crticos da empresa n1o est1o em uma ?rea restrita ou controlada TKU5 T;U: S!/ur*n* F%#i)* ! do Ambi!nt! 5Ad!r6n)i* G'ob*'7 It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 b &: Presena Botal 5199;7d 1. ADMI.ISTRA<=O DAS ?REAS SEGURAS #:# As ?reas crticas da empresa est1o em locais seguros e o permetro est? protegido com alguma 9arreira ou controle de entrada impedindo os acessos n1o autoriCados_ 6 (F] #:( "6iste pr?ticas de conser3a1o de mesas e telas 3aCias para reduCir riscos de acesso n1o autoriCado Ls informaes da empresa _ 6 F.] Permetro de3e ser definido e controles de acessos de3em ser aprimorados e3itando o acesso n1o autoriCado: Reforar as necessidades dessas pr?ticas nas oficinas de reciclagens: T*b!'* 2: Controle da Norma NBR IS!I"C #$$%% 8 Segurana 4sica TKU N1o se conquista um 9oa segurana em um permetro corporati3o ou SH5 se o acesso fsico Ls informaes n1o for composto de o9st?culos que dificultem ou atA mesmo impeam o acesso: Controles mais rigorosos de3em ser implementados: /entre a pontua1o a ser alcanada de ( pontos5 apenas .5$F ponto foi computado TKU5 T;U: G!r!n)i*m!nto d*# O1!r*3!# ! (omuni)*3!# 5Ad!r6n)i* G'ob*'7 It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 &: Presena Botal 5199;7 1. $RO(EDIME.TOS $ADRDES $ARA GERE.(IAME.TOS DE I.(IDE.TES #:# Wuanto a co9ertura dos riscos em potencial comoG 4alhas no sistema5 Nega1o de ser3io5 Integridade comprometida e 3iola1o de confidencialidade: H? procedimentos padres de como agir definido_ 6 (F] Procedimentos padres pre3enti3os ou curati3os de3em ser definidos: Se necess?rio5 contratar uma consultoria e6terna antes: IK It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 &: Presena Botal 5199;7 #:( Wuanto aos planos de recupera1o do sistema5 e6iste algum procedimento padr1o definido_ 6 (F] 2. ARMAAE.AME.TO DAS $ROVAS DE $OSS>VEIS I.(IDE.TES (:# As pro3as de poss3eis incidentes s1o armaCenadas de forma segura para uma futura an?lise do pro9lema que au6iliar? na recupera1o do sistema_ 6 .] /e3e8se definir um local adequado para o armaCenamento da documenta1o coletada de um poss3el incidente5 se poss3el tudo em forma digital: &. $ROTE<=O E (O.TROLE DE SOFTEARE MALI(IOSO ;:# H? controles que impeam a instala1o e ou utiliCa1o de softOares n1o autoriCados_ 6 F.] ;:( H? controles nas transfer0ncias de arqui3os ou softOares do meio e6terno para o am9iente de produ1o da empresa_ 6 F.] > necess?rio melhorar o controle e as permisses dos usu?rios: ;:; S1o efetuados procedimentos de atualiCaes peri7dicas de softOares de anti83rus e s1o fornecidas orientaes aos cola9oradores da importJncia de se 3arrer quaisquer mdias que adentrarem ao am9iente da empresa_ 6 #..] ;:I "6istem controles de conteEdo protegendo as informaes que trafegam na rede_ 6 #..] Apesar desta tarefa @? ser efetuada com certa regularidade5 aconselha8se que o gestor de segurana e sua equipe5 faam an?lises e certificaes de que as tarefas est1o sendo efetuadas: T*b!'* F: Controle da Norma NBR IS!I"C #$$%% 8 ,erenciamento das peraes e Comunicaes TKU A ta9ela K apresenta a an?lise e os resultados da comunica1o5 alAm do tr?fego dentro da empresa: H? a necessidade da e6ist0ncia de planos de a1o5 possi9ilitando uma recupera1o r?pida das ati3idades fins da empresa caso ha@a algum incidente TKU5 T;U: A padroniCa1o de procedimentos A de suma importJncia para sa9er como agir em caso de incidentes: Polticas de armaCenamento de3em estar documentadas5 9em como sua periodicidade5 seu plano de recupera1o ou conting0ncia caso se tenha algum dado corrompido: Wuanto L prote1o l7gica5 I$ manter sempre o sistema atualiCado e possuir mecanismos que aumentem a segurana do permetro: Perce9e8se que este controle @? possui uma efeti3idade regular5 porAm alguns pontos podem ser melhorados: "ntretanto atingiu8se uma pontua1o de ;5F pontos dentre os $ pontos poss3eis de serem alcanados TKU5 T;U: Na ta9ela $ s1o apresentados an?lise e resultados so9re o controle de acesso5 esta etapa tam9Am est? ligada L documenta1o: Atra3As de um termo de compromisso5 todos os funcion?rios de3em estar totalmente esclarecidos em rela1o ao que ter1o ou n1o acesso5 so9re o procedimento de como as senhas de acesso de3em ser armaCenadas e possuem caractersticas intransfer3el a outra pessoa: Auditorias peri7dicas de3em ser realiCadas com a finalidade de checar o uso correto do acesso concedido a cada funcion?rio5 e para a3aliar poss3eis falhas ou 3ulnera9ilidades no sistema TKU5T;U: (ontro'! d! A)!##o 5Ad!r6n)i* G'ob*'7 It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 &: Presena Botal 5199;7 1. DO(UME.TA<=O E ES(LARE(IME.TO 8UA.TO AO A(ESSO #:# As polticas de controle de acesso e os de3eres de cada usu?rio s1o documentadas e esplanadas de forma clara atra3As de termos de compromisso e ou declaraes_ 6 F.] #:( gerenciamento dos usu?rios5 suas permisses e senhas s1o realiCadas atra3As de procedimentos padres e esclarecidos atra3As do termo ou da declara1o_ 6 F.] A documenta1o de3e ser melhorada e ter maior efic?cia quanto aos esclarecimentos de controle de acesso: 2. FORMA DE IDE.TIFI(A<=O SEGU.DO AS $OL>TI(AS DE SEGURA.<A DA I.FORMA<=O (:# cadastro dos usu?rios possui identifica1o Enica5 permitindo um melhor controle das permisses para cada aplica1o ou tarefa realiCada_ 6 (F] > papel do gestor de segurana garantir que se@a realiCadas uma poltica padr1o de cadastramento5 aplica1o de IH It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 &: Presena Botal 5199;7 (:( Ap7s o cadastro dos usu?rios s1o feitas 3istorias para checar se os pri3ilAgios e recursos definidos para cada usu?rio est1o de acordo com as necessidades e em conformidade com o modelo de poltica adotado_ 6 .] (:; S1o realiCados auditorias peri7dicas para checar hor?rios de acesso5 pedido de acessos negados ou permitidos e programas utiliCados por cada usu?rio_ 6 .] permisses e auditorias do sistema periodicamente a fim de mensurar os poss3eis riscos em que a empresa este@a e6posta: T*b!'* G: Controle da Norma NBR IS!I"C #$$%% 8 Controle de Acesso TKU Neste controle da Norma NBR IS!I"C #$$%%5 que tam9Am A referenciada no n3el de segurana C(5 trata8se das polticas do controle de acesso ao sistema por parte dos usu?rios: Ap7s definidas as contas de cada usu?rio5 A fundamental que ha@a um termo ou declara1o completa5 onde se@am especificados de maneira clara5 todos os direitos e de3eres a serem seguidos: A identifica1o dos usu?rios de3e ser coesa: Ap7s esta etapa5 uma rotina de 3erifica1o dos acessos5 quanto a hor?rios5 sesses permitidas e ou negadas dos aplicati3os de3em ser 3alidadas para certificar que as permisses definidas est1o adequadas: No total de F pontos5 foi conseguido # a pontos5 portanto5 de3e ser melhorado TKU: A ta9ela H apresenta an?lise e resultados das questes so9re a continuidade do neg7cio5 ou se@a5 manter as ati3idades fins da empresa funcionando TKU5 T;U: I% (on-ormid*d! ! (ontinuid*d! do .!/H)io 5Ad!r6n)i* G'ob*'7 It!m 8u!#t3!# * #!r!m *"*'i*d*# $!#o 9 1 2 & $onto# L!/!nd* ou Ob#!r"*3!# 9: Aus0ncia 59;7 1: Presena N1o "ficiente 522;7 2: Presena Parcial 529;7 &: Presena Botal 5199;7 1. MA.TE.DO A (O.TI.UIDADE DO .EGI(IO #:# "6istem mecanismos que au6iliam na identifica1o dos riscos5 para que esses possam ser reduCidos e tam9Am garantir uma recupera1o ou retomada de todas ou parte parte principal das ati3idades em menor tempo poss3el_ 6 (F] +ecanismos de3em ser criados para agir de forma pre3enti3a: Wuanto L recupera1o do sistema5 as polticas de 9acDup e6istentes nem sempre contemplam a necessidade da empresa de uma retomada das ati3idades de forma r?pida: 2. (O.FORMIDADE (OM OS RE8UISITOS (:# "m poder das informaes geradas pelo mecanismo citado anteriormente5 A poss3el a 3erifica1o de conformidade com os requisitos e polticas adotadas_ 6 (F] gestor de segurana de3e criar um cronograma de 3alida1o das polticas e conformidades adotadas: T*b!'* J: Controle da Norma NBR IS!I"C #$$%% 8 Conformidade e Continuidade do Neg7cio TKU Ap7s todos os controles A o momento para a3aliar de que forma o neg7cio da empresa permanecer? em funcionamento: Para isso5 de3e8se possuir mecanismos capaCes de mensurar os poss3eis riscos e intercept?8los5 aumentando5 assim5 sua disponi9ilidade: "stes mecanismos e todas as polticas adotadas de3em estar em conformidade com as normas e requisitos definidos: Caso ha@a alguma di3erg0ncia5 de3e8se rea3aliar5 reestruturar e pu9licar no3amente: A pontua1o deste controle atingiu ` ponto dos ( pontos poss3eis TKU5 T;U: 5.4 -es%ltados Obtidos s critArios para a an?lise e apresenta1o da a3alia1o foram o9tidos atra3As de pontuaes de . a ;5 sendo . aus0ncia &.]'5 # presena n1o eficiente &(F]'5 ( presena parcial &F.]' e ; presena total &#..]' de ader0ncia L alguma das normas ou itens das normas TKU5 T;U: Na an?lise so9re a documenta1o e6istente na empresa5 notou8se a F. necessidade de melhoraria do en3ol3imento da administra1o quanto L gest1o da segurana dei6ando 9em claro sua importJncia e definindo uma pessoa respons?3el para manter tais documentaes: Neste quesito a3aliou8se $ itens e apro6imadamente #I] @? est1o implementados TKU5 T;U: Na an?lise de segurana organiCacional 3erificou8se que e6istem defici0ncias en3ol3endo a administra1o: "sta de3e estar mais presente e A importante a defini1o dos papAis de cada en3ol3ido: processo de monitora1o e 3alida1o que for definido poder? ser feito por terceiros: A pontua1o ficou pr76imo de #(] @? implementado TKU5 T;U: A an?lise da segurana pessoal o9te3e um 9om resultado: Alguns treinamentos @? foram realiCados com o o9@eti3o de conscientiCar os funcion?rios da empresa: 2ma sugest1o5 seria criar um pro@eto onde a mudana e reciclagem das informaes a serem passadas este@am em permanente adequa1o: "sta an?lise conquistou apro6imadamente ;.] e foi efeti3ada ou implementada TKU5 T;U: Na segurana fsica do am9iente computacional de3e8se aumentar o controle de acesso L ?reas crticas da empresa e manter informaes sigilosas em locais seguros e fora do alcance de pessoas n1o autoriCadas: A pontua1o deste quesito alcanou apro6imadamente I.] de recursos @? utiliCados ou implantados TKU5 T;U: No gerenciamento das operaes e comunica1o hou3e uma surpresa5 pois no momento da an?lise5 algumas tarefas @? eram e6ecutadas: As documentaes de poss3eis incidentes5 procedimentos padres de como agir e como armaCen?8los5 de3em ser re3istos e melhorados: A pontua1o foi de F.] de ader0ncia TKU5 T;U: "m conformidade com a continuidade do neg7cio5 recomenda8se criar mecanismos pre3enti3os para atuar em poss3eis desastres5 redundJncia e integridade dos dados os quais fora realiCado o 9acDup5 critArios de recupera1o r?pida e formas de testar regularmente atra3As de um cronograma a efici0ncia dos mecanismos: A pontua1o deste item alcanou (F] TKU5 T;U: F# F. (on)'u#o 8.1 (osidera6es $iais "ste captulo encerra o tra9alho apresentando os resultados o9tidos ap7s a an?lise e todas as propostas de mudanas: A proposta deste tra9alho foi alcanada5 pois fora mostrada a importJncia em manter as informaes mais seguras5 tAcnicas so9re como melhorar a segurana5 controle de acesso e sugest1o de mudana do la=out do permetro de rede e na topologia5 minimiCando riscos L integridade dos dados da empresa: Por coincid0ncia5 a empresa do estudo de caso5 possui uma ag0ncia que regulamenta praticamente todas as suas ati3idades fim5 e no decorrer deste tra9alho5 esta ag0ncia criou uma normati3a que determina3a algumas normas e padres que de3eriam ser adotados pela empresa 2RCB+) e outras co8irm1s para garantir a integridade das informaes: 2m dos 3?rios padres a serem adotados A a NBR IS!I"C #$$%%5 e isso contri9uiu muito para o enriquecimento deste tra9alho5 tornando8o 3i?3el e poss3el a sua implementa1o de fato no am9iente estudado: A compro3a1o de que algumas polticas mesmo que parcialmente @? esta3am implementadas na empresa 2RCB+) no momento desta an?lise5 demostra que a preocupa1o das empresas e dos profissionais que gerem a segurana da informa1o A realidade5 mesmo que neste caso5 n1o foram o9edecidos alguns critArios5 seguida alguma norma ou padr1o para a sua implementa1o5 demostrou alguma efici0ncia mesmo que pouca: Bomar conhecimento deste fato ser3iu como incenti3o5 pois significa que a empresa n1o est? t1o fora do caminho da conquista de seus o9@eti3os com rela1o L segurana de seus dados e o9edecendo Ls determinaes impostas pela ag0ncia reguladora5 porAm ainda h? muito a ser feito: Como proposta de tra9alhos futuros5 poder? ser criado um li3e8C/ interati3o que au6ilie o administrador de redes a criar tal am9iente5 de forma automatiCada: F( G. R!-!r6n)i*# Bib'io/r-i)*# 9.1 )ivros K1L BRI,5 Clodonil Honorio: +")5 Sandro: *roLeto de )euran$a em )oft-are :ivre= :inu, )euro 8 6ire-all 8 *ro,. 8 Identificadores de Intrusos MID)@ 8 Rede *rivada M7*'@! S1o PauloG "ditora Alta BooDs5 (..I: #%;p: K2L SAR"S5 )uiC 4ernando ,omes: )"+S5 ,uido: C)CH"R5 SArgio: Rede de Computadores= Das :A's, &A's e NA's Os Redes AT&! Rio de NaneiroG "ditora Campus5 #%%F: $.Fp: K&L ASSCIAcd BRASI)"IRA /" NR+AS B>CNICAS: NBR8IS!I"C #$$%%G(..FG Tecnoloia da Informa$"o 8 T#cnicas de )euran$a 3 CIdio de *r%tica para Gest"o da )euran$a de Informa$+es! Rio de Paneiro, (..F5 #(.p: K+L +")5 Sandro: /+IN,S5 Cesar: CRR"IA5 )ucas: +AR2YA+A5 Biago: /)0011= Da T%tica O *r%tica em )ervidores :inu,! Rio de NaneiroG "ditora Alta BooDs5 (..K: (;(p: 9.2 Moografias K2L ,NcA)*"S5 )us Rodrigo de li3eira: ;m &odelo para 7erifica$"o, Gomoloa$"o e Certifica$"o de Aderncia O 'orma 'acional de )euran$a de Informa$"o 3 '/R3I)( IEC3<0011! ?QQJ! <R1 f! /isserta1o &+estrando em Ci0ncias em "ngenharia de Sistemas e Computa1o' - 2ni3ersidade de "ngenharia de Sistemas e Computa1o5 2ni3ersidade 4ederal do Rio de Naneiro5 Rio de Naneiro: KFL SA),A/5 I3an Norge Chueri: BAN/"IRA5 Ronaldo: SI)*A5 Ri3anildo Sanches: An%lise de )euran$a 6>sica em Conformidade com a 'orma A/'T '/R I)(HIEC <0011! (..I: ;(K f: +onografia &,raduandos em Becnologia em Segurana da Informa1o' - 4aculdade em Becnologia em Segurana da Informa1o5 4aculdades Integradas IC"SP5 Braslia: F; 9.3 :ebibliografias KGL N"B4I)B"R5 Netfilter 8 fireOalling5 NAB5 and pacDet mangling for )inu6: Ton8 lineU: /ispon3el na Internet 3ia OOO: urlG httpG!!OOO:netfilter:org: Arqui3o capturado em (.5 de Nulho de (..K: KJL B"RB"))A5 +arcio )us: BNIN5 Neilor A3elino: A Implementa$"o de uma Rede de Computadores com os )istemas (peracionais ;ni, e Nindo-s'T ;tili2ando o *rotocolo TC*HI* e o Gerenciador de Arquivos Distribu>dos '6)! Ton8 lineU:/ispon3el na Internet 3ia OOO: urlG httpG!!OOO:inf:uri:com:9r!implementacao:htm: Arqui3o capturado em ((5 de Nulho de (..K: KML ABS)2BA: *adr+es para )euran$a de Computadores MTC)EC, IT)EC E CC@! Ton8lineU: /ispon3el na Internet 3ia OOO: urlG httpG!!OOO:a9soluta:org!seguranca!seg<padroes:htm: Arqui3o capturado em (.5 de Nulho de (..K: K19L +/2)5 Portal do Profissional da Segurana da Informa1o: Ton8lineU: /ipon3el na Internet 3ia OOO: urlG httpG!!OOO:modulo:com:9r: Arqui3o capturado em .F5 de Setem9ro de (..K: K11L ABAe/" BARBSA +ARBINS5 2ma a9ordagem +etodol7gica Baseada em Normas e Padres de Segurana: "studo de Caso C"BR") S!A: Ton8lineU: /ispon3el na Internet 3ia OOO: urlG httpG!!OOO:linorg:cirp:usp:9r!SSI!SSI(..I!Poster!P.;<ssi.I:pdf: Arqui3o capturado em #(5 de Agosto de (..K: K12L SAN/R +") e BIA, +ARYA+A5 Butorial de )ids - *ers1o .:# &)ids - )inu6 Intrusion /etection S=stem': Ton8lineU: /ispon3el na Internet 3ia OOO: urlG httpG!!arl:ginu6:ufla:9r!moodle!mod!resource!3ieO:php_id[I;%: Arqui3o capturado em ($5 de Nulho de (..K: K1&L QIPIP>/IA5 A "nciclopAdia )i3re: Ton8lineU: /ispon3el na Internet 3ia OOO: urlG httpG!!pt:OiDipedia:org: Arqui3o capturado em #F5 de Agosto de (..K: K1+L ABAe/" BARBSA +ARBINS e C")S A)B"RB SAIB") SANBS5 2ma +etodologia para a Implanta1o de um Sistema de ,est1o de Segurana da FI Informa1o: Ton8lineU: /ispon3el na Internet 3ia OOO: urlG httpG!!OOO:tecsi:fea:usp:9r!re3istatecsi!edicoesanteriores!3.(n.(8 (..F!pdf!a.(3.(n.(:pdf: Arqui3o capturado em .F5 de Setem9ro de (..K: K12L BH" PAX B"A+5 Homepage of Bhe PAX Beam: Ton8lineU: /ispon3el na Internet 3ia OOO: urlG httpG!!pa6:grsecurit=:net: Arqui3o capturado em (.5 de 4e3ereio de (..$: FF