Pr aticas de Seguranca para Administradores de Redes Internet

Checklist
NIC BR Security Ofce
nbso@nic.br
Vers ao 1.2
16 de maio de 2003
Copyright c 2002, 2003 NBSO
Este checklist resume as principais recomendac oes contidas no documento intitulado Pr aticas de Seguranca para Ad-
ministradores de Redes Internet, um guia com informac oes para congurar, administrar e operar redes ligadas ` a Internet
de forma mais segura. O documento original pode ser obtido em http://www.nbso.nic.br/docs/seg-adm-redes/.
Para informac oes sobre copyright e distribuic ao, veja o documento original.
1 Polticas
elaborac ao de uma poltica de seguranca, com apoio da administrac ao da organizac ao;
divulgac ao da poltica de seguranca entre os usu arios da rede;
elaborac ao e divulgac ao de uma poltica de uso aceit avel (AUP).
2 Instalac ao e Congurac ao Segura de Sistemas
1. Antes da instalac ao:
planejamento dos prop ositos e servicos do sistema;
denic ao do particionamento do disco;
provis ao de mdias e documentac ao necess arias ` a instalac ao.
2. Durante a instalac ao:
escolha de uma senha forte para o administrador;
instalac ao do mnimo de pacotes, com o sistema fora da rede;
documentac ao da instalac ao no logbook.
3. Ap os a instalac ao:
desativac ao de servicos instalados e n ao utilizados;
instalac ao de correc oes de seguranca;
congurac ao do servidor SMTP, fechando o relay;
Pr aticas de Seguranca para Administradores de Redes Internet Checklist 2/4
congurac ao do proxy Web, ajustando os controles de acesso.
4. Antes de conectar o sistema em rede:
vericac ao das portas TCP/UDP abertas, usando um comando como o netstat;
ajuste nas regras de rewall apropriadas, para liberar o tr afego para o novo sistema.
Alguns checklists mais especcos para determinados sistemas operacionais podem ser encontrados em
http://www.sans.org/SCORE/.
3 Administrac ao e Operac ao Segura de Redes e Sistemas
1. Educac ao dos usu arios:
divulgac ao de documentos de educac ao do usu ario, sobre seguranca de redes, como por exem-
plo a Cartilha de Seguranca para a Internet, disponvel em http://www.nbso.nic.br/docs/
cartilha/.
2. Ajuste do rel ogio:
instalac ao e congurac ao de um servidor local de tempo (por exemplo, NTP);
sincronizac ao dos rel ogios dos sistemas da rede com o rel ogio do servidor local de tempo;
ajuste do timezone dos sistemas.
3. Equipes de administradores:
criac ao de listas de discuss ao para a comunicac ao entre os administradores de redes e sistemas da
organizac ao;
estabelecimento de procedimentos e/ou instalac ao de ferramentas para controle de alterac oes na
congurac ao dos sistemas;
estabelecimento de procedimentos e/ou instalac ao de ferramentas que permitam um controle sobre
a utilizac ao de contas privilegiadas (root e Administrator).
4. Logs:
habilitac ao do logging em sistemas e servicos;
estabelecimento de um procedimento de armazenamento de logs;
instalac ao e congurac ao de um loghost centralizado;
estabelecimento de um procedimento de monitoramento de logs;
instalac ao de ferramentas de monitoramento automatizado e de sumarizac ao de logs.
5. DNS:
limitac ao de transfer encias de zona nos servidores DNS mestres e escravos;
separac ao de servidores com autoridade e recursivos;
congurac ao do servidor DNS para execuc ao com privil egios mnimos;
preservac ao de informac oes sensveis (incluindo vers ao do servico) registradas no DNS;
Pr aticas de Seguranca para Administradores de Redes Internet Checklist 3/4
congurac ao do DNS reverso para todos os hosts da rede.
6. Informac oes de contato:
implementac ao dos emails abuse e security;
atualizac ao do contato de SOA no DNS;
atualizac ao dos contatos (especialmente o t ecnico) no WHOIS.
7. Eliminac ao de protocolos sem criptograa:
substituic ao de Telnet/FTP/rlogin/rsh/rexec por SSH;
substituic ao de POP3 e IMAP sem criptograa por soluc oes de email com criptograa (POP3 ou
IMAP sobre SSL, Webmail sobre HTTPS).
8. Cuidados com redes reservadas:
ltragem dos enderecos pertencentes a redes reservadas e n ao alocadas;
congurac ao de tabelas de hosts e/ou servidores DNS privados quando s ao utilizados internamente
enderecos de redes reservadas.
9. Polticas de backup e restaurac ao de sistemas:
denic ao da periodicidade dos backups;
denic ao dos dados que devem ser copiados;
escolha de um local adequado para o armazenamento dos backups;
estabelecimento de um procedimento de vericac ao de backups;
estabelecimento de um procedimento para a restaurac ao de sistemas a partir do backup.
10. Como manter-se informado:
inscric ao nas listas de an uncios de seguranca dos fornecedores de software e/ou hardware;
inscric ao nas listas de administradores e/ou usu arios dos produtos usados na sua rede;
inscric ao na lista de alertas de seguranca do CERT/CC.
11. Precauc oes contra engenharia social:
treinamento de usu arios e administradores contra possveis tentativas de descoberta de informac oes
sobre a rede da organizac ao;
busca e remoc ao de documentos que contenham tais informac oes e que estejam disponveis nos
servidores de rede;
preservac ao de informac oes sensveis ao solicitar auxlio em f oruns p ublicos na Internet.
Pr aticas de Seguranca para Administradores de Redes Internet Checklist 4/4
12. Uso ecaz de rewalls:
escolha de um rewall que rode em um ambiente com o qual os administradores estejam acostuma-
dos;
instalac ao de rewalls em pontos estrat egicos da rede, incluindo, possivelmente, rewalls internos;
uso de uma DMZ para connamento dos servidores p ublicos;
implementac ao de ingress e egress ltering no permetro da rede.
13. Redes wireless:
denic ao de uma poltica de Uso da Rede Wireless;
posicionamento cuidadoso dos APs visando minimizar o vazamento de sinal;
segregac ao da rede WLAN da rede interna da instituic ao;
uso de WEP;
uso de criptograa na aplicac ao (SSH, SSL, etc);
adoc ao de WAP e 802.11i, quando disponveis;
mudanca da congurac ao default dos APs (senhas, SSID, SNMP communities, etc);
desligamento do broadcast de SSID;
protec ao dos clientes wireless (aplicac ao de patches, uso de rewall pessoal, antivrus, etc.);
monitorac ao da rede wireless.