DANIEL ZILLI 1 edo SUMR!O Agradecimentos...........................................................05 Prefcio.................................................................06 Introduo...............................................................07 Captulo nico...........................................................09 1. Segurana Fsica.................................................11 2. Softwares........................................................13 2.1 Servidor Linux..................................................13 2.2 Servidor Windows................................................14 2.3 Estao Windows.................................................15 3. Pessoas..........................................................17 Concluso................................................................19 Apndice A...............................................................21 Feedback.................................................................23 AGRADE"!ME#TOS Desta vez no vou agradecer nngum da fama e muto menos da comundade. Ouero dzer o meu muto obrgado a todos os professores de todos os nves que ncentvam e apam o software vre. Ser professor um dom (que aguns no possuem, mas anda assm do aua) e uma profsso que merece muto respeto. Parabns a todos os professores! $RE%"!O Escrever esse pequeno vro sobre segurana fo um tremendo desafo. Isso porque escrever sobre um assunto | to exposto como segurana e anda coocar a cara para bater ndo contra todos dzendo que exste segurana 100%, no fc. Desafo gostoso e que vaeu pena. Mas para que sso acontecesse fo precso quebrar aguns paradgmas. Camnhando para o ado contrro dos atuas vros de segurana, O GURU ESTAVA ERRADO! um vro de fc etura, ob|etvo, pequeno e muto prtco. Aqu no tem enroao ou enchmento de nga s para ganhar pgnas. Voc poder por medatamente em prtca o que aprendeu no vro; sso graas ao formato e a manera que o mesmo se encontra. Os conhecmentos apresentados nesse vro so fruto da mnha expernca nas empresas e muta etura. Estou muto contente com o resutado do vro e espero ter consegudo passar a voc etor uma nova noo sobre o que segurana e como devemos trabahar com ea. !#TRODU&'O Fugndo dos vros de segurana de qunhentas e poucas pgnas, este um vro totamente prtco, do tpo de evar |unto para o trabaho e segur as nstrues de uso. Aguns podem at vr dzer que so puras receitas de bolo, mas eu prefro dzer que so uma metodologia para implantao de segurana. Mas para que tudo ocorra bem, vamos escarecer agumas cosas e quebrar os prmeros paradgmas. Segurana no um produto e sm um processo. A segurana de uma organzao no depende apenas de um fator, mas sm de vros. Segurana esttca segurana morta! Segurana no frewa! O frewa apenas um dos componentes usados para segurana....apenas um! Lembre-se dsso. A segurana no pode ser compcada! Ouanto mas voc compca maor a chance de ago sar errado, am de dfcutar a posteror manuteno (a menos que se|a sso que a pessoa quera: fazer ago que nngum entenda para que somente ea possa dar manuteno). A fosofa Unx K.I.S.S (keep t smpe stupd) dz tudo! Smpcdade no sgnfca baxa quadade. Tente sempre fazer as cosas smpes, mas com efcnca. A mehor manera de trabahar com segurana de forma preventva. Exstem vras razes para nos preocuparmos com segurana, conforme avso da NIC BR Securty Offce. Agumas das aes que uma pessoa ma- ntenconada pode fazer se consegur domnar o seu computador so: utzar seu computador em aguma atvdade cta, para esconder sua rea dentdade e ocazao. utzar seu computador para anar ataques contra outros computadores. utzar seu dsco rgdo como repostro de dados. meramente destrur nformaes (vandasmo). dssemnar mensagens aarmantes e fasas. er e envar e-mails em seu nome. propagar vrus de computador. furtar nmeros de cartes de crdto e senhas bancras. furtar a senha da conta de seu provedor, para acessar a Internet fazendo-se passar por voc. furtar dados do seu computador, como por exempo nformaes do seu Imposto de Renda.
Ouem faz a segurana voc e no apcatvos ou frmuas mgcas. No acredte que um nco programa r he dexar seguro. Voc o responsve, no se esquea dsso. Por tmo, estar 100% seguro possve e vve. A grande pergunta que se deve fazer no se estou reamente seguro, mas sm por quanto tempo estou seguro( Tempo a paavra-chave. Aps apcar tudo que eu nesse vro, voc poder estar 100% seguro, mas da vem a questo, por )ua*to te+po( A meu caro coega, nngum no mundo pode responder. Voc pode fcar seguro por 10 segundos ou uma semana. Tudo va depender da descoberta de novas fahas, vunerabdades ou funconros ma ntenconados. Por sso que nssto: segurana um processo constante e voc deve estar sempre atento e atuazado, caso contrro, de nada vaeu o seu esforo. Para comear o que nteressa, dvd em trs partes bem smpes a abordagem sobre segurana de uma organzao. Abordando esses trs pontos, teremos ento a segurana dos nossos sonhos. Segurana Fsica Dz respeto a tudo que envove hardware e o ambente de trabaho. Software Envove tudo que dz respeto a softwares. Desde apcatvos bscos at ao sstema operacona. Pessoas Toda e quaquer nterveno humana tratada aqu. "A$,TU-O .#!"O 1/ SEGURA#&A %,S!"A Na sua grande maora o avo prncpa das tentatvas de ataques e nvases so os servdores de uma organzao. Por estarem geramente conectados 24 horas na nternet, tornam-se avos bvos e de fc acesso. | que so ees que esto na mra, vou dar uma ateno especa ao abordar esse assunto. Do que adantam todas as mqunas atuazadas, sstema operacona sem vrus e um beo de um frewa funconando se o servdor fca numa mesa onde quaquer um tem acesso ee? A segurana fsca muto mportante e deve fazer parte da cutura de uma organzao. Comearemos aqu os passos para uma segurana 100%. Es os passos para a segurana fsca: 1. O servdor no estao de trabaho! No use o servdor para fcar navegando sem rumo na nternet ou fazer trabaho de aua. O servdor s tem uma funo: servr servos. 2. O servdor deve fcar soado das estaes de trabaho. O acesso fsco ao servdor deve ser restrto. Mutas das brechas de segurana encontradas nas corporaes, so cupa das prpras corporaes, | que essas brechas dzem respeto ao prpro ambente de trabaho, onde potcas de portas abertas; escrtros sem paredes determnam que os seus servdores fquem expostos a vstantes. Ouero dzer com sso que o ugar dea do servdor fcar trancado numa saa cmatzada e a chave dessa saa deve pertencer somente ao chefe do CPD, gerente de TI, dretor de nformtca...etc. Entendeu? Somente o chefe ou agum de confana deve ter acesso a essa saa. 3. Prevna-se! Deve exstr um esquema de recuperao dos dados na organzao caso acdentes, roubo ou catstrofes aconteam. Faa sso ou se pergunte "porqu???? depos! 4. Nada adanta dexar o servdor trancado se as mdas de backup fcam para o ado de fora. O backup deve fcar |unto ao servdor ou num outro ugar seguro. 5. A rede deve possur um sstema de no-break e ser estabzada com energa de quadade. 6. O cabeamento deve ser de quadade e feto por quem entendo do assunto. Os cabos de rede devem ser protegdos contra exposo (no fcar esparramado pea saa). 7. Armros com nformaes sgosas devem permanecer trancados e soados. 8. Ftas, reatros e outras mdas com nformaes sgosas que no tm mas uso devem ser destrudos e no apenas |ogados fora. 9. Caso quera, voc pode ser paranco e retrar o tecado e montor do servdor ou usar esses equpamentos especas de trava. 10. Senha no setup da mquna tambm uma boa da. 11. Identfque todas as pessoas que entram em sua organzao. Crach nees!! Mas uma empresa no vve s de servdores, temos tambm em seus parques tecnogcos as chamadas estaes de trabaho, que nada mas so do que o computador que usamos para trabahar no da a da. Agumas restres fscas podem ser fetas para aumentar a segurana, e so eas: 12. O passos 3,4,5,6 e 10 tambm devem ser apcados nas estaes. 13. Retrar de todas as estaes o drve de dsquete e cdrom. Fao sso por vras razes. Se sua empresa est conectada em rede, voc no va precsar usar o dsquete ou cdrom para copar arquvos. Caso voc venha acessar dsquete ou cdrom de fora (envado por centes, fornecedores...) dexe os drves em uma nca mquna, e de prefernca na do chefe. Voc com sso evta que pessoas ma- ntenconadas ou por ngenudade venham trazer programas macosos ou vrus para dentro da empresa, sem contar com a possbdade de roubo de nformaes. 0/ SO%T1ARES No captuo passado escrev sobre o acesso fsco do servdor e os cudados que devemos ter ao escoher o seu ugar. Vamos ento agora para o prato prncpa, os softwares. Para fcar bem caro, dvd as expcaes entre servdor e estaes de trabaho. 0/1 Servi2or -i*u3 14. As pessoas tm por costume ou fata de competnca, fazer a nstaao padro ou competa dos sstemas, no mportando se o que nstaou va ser usado ou no. Ao nstaar o sstema operacona do servdor, i*stale so+e*te o *e4essrio. No nstae nada que voc ou os servos que rodaro no servdor no vo usar. Uma dca fazer a nstaao mnma e depos r acrescentando os softwares que sero necessros ou requstados peos servos. 15. Desabte todos os servos que no esto sendo usados. Por padro quando voc nstaa o Lnux nas mas dversas dstrbues, vros servos so habtados por padro como ssh, httpd, ftp. O dea desabtar tudo e somente com a necessdade r berando os servos requerdos. Caso o uso desse servo se|a apenas temporro, no se esquea de desabtar aps o uso. 16. Este passo muto mportante! Atuali5e se+pre seu siste+a. Agumas dstrbues fazem sso automatcamente outras no, por sso este|a sempre atento aos updates da sua dstrbuo. Voc pode fazer sso assnando boetns de avso sobre atuazaes que agumas dstrbues possuem ou vstando daramente seu repostro. Lembre-se: u+ siste+a atuali5a2o u+ siste+a seguro. 17. Passe e use um antvrus para assegurar que no exsta nem um hspede ndese|ado na sua mquna. A F-PROT e a Panda tm tmas soues freeware para Lnux. 18. No acumue todas as funes em um s servdor. Coocar banco de dados, servdor de web, ma, proxy e frewa em um s servdor sucdo. Separe as apcaes conforme o tamanho e uso. Banco de dados num servdor, web e ema noutro e frewa e squd em outro. Eu se que sso representa mas gastos, mas mas seguro. 19. Recompar o kerne com somente drves e funes que o servdor precsa tambm uma vaosssma dca. E | que voc va mexer no kerne mesmo, que ta apcar um patch de segurana? Exstem vros patches de segurana na net. Sugro http://www.openwa.com/nux ou http://pax.grsecurty.net . Esses patches traro um aumento de segurana sgnfcatva ao sstema. Mas use somente um desses dos, |amas os dos |untos. 20. Fu|a do bvo. A menos que voc reamente precse de software especfcos, uma souo ntegente usar programas aternatvos aos deres de mercado. Ouanto mas usado um programa, mas vsado ee fca. Sua organzao quer usar um servdor DNS? Ento em vez de se afundar na compcao e buracos do Bnd que ta usar o D|BDNS? Am de muto mas smpes mas seguro. Caso precse de um smpes servdor http e acha o apache compcado e grande, tente ento o Monkeyd. Exstem centenas de programas aternatvos e de quadade (confra esse aspecto antes de fazer quaquer troca), faa uma busca no http://freshmeat.net e descubra esse novo mundo. 21. Instae um frewa. Faa regras de frewa 4laras e o67etivas. 22. Controe o acesso! Atravs do squd faa controe de acesso sobre o contedo e servos que os usuros tero dreto. Se o funconro precsa apenas do ema, para que berar acesso http para ee? 23. Desabte a resposta do png do seu servdor. Seu servdor no precsa fcar respondendo png(a menos se esse recurso se|a necessro para a organzao ou terceros), | que este o prmero comando que se d para se ncar um ataque. Para desabtar o png apenas ncua no seu arquvo rc.oca a segunte nha: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 24. Voc tambm pode obscurecer aguns dados dos servos que rodam no seu servdor. Ho|e em da mutos tpos de scans fetos por cracker/newbes/curosos esto a procura de servos vunerves, baseados |ustamente na verso retornada peos daemons. No apndce B tem um nk para um artgo sobre o assunto. 25. Crptografa. Voc pode crptografar tudo! Desde o sstema de arquvos at as transmsses de dados. Mas cudado para no perder a useabdade. Um estudo de vabdade precsa ser feto antes. 26. S exponha o sstema Internet aps competar todos os procedmentos de segurana. 2.2 Servidor Windows Se infelizmente voc da gerao clique, tem medo de teclado e gasta um bom dinheiro que no seu, ento provavelmente voc usa Windows como servidor. ara esse mal, algumas das possveis solu!es so" #$. Mude com urgncia para o Linux. #%. & verdade d'i...mas no existe segurana 100% com o Windows. #(. &o instalar o sistema operacional, instale somente o necessrio. )o instale nada que voc ou os servios que rodaro no servidor no vo usar. *+. )o acumule todas as fun!es em um s' servidor. *,. -ecompile o .ernel com somente os drives e fun!es que o servidor precisa....te peguei/ "01 *#. 2nstale um firewall. **. & primeira coisa a se fazer num sistema operacional Windows passar3instalar3atualizar um antivirus. -ecomendo os freewares 4ree0&v 5www.free0 av.com 1 e o &67 5www.grisoft.com 1. )o que eu se8a contra o )orton ou 9cfaee, mas que eles so pesados demais. *:. ;esabilite todos os servios que no esto sendo usados. *<. &gora faa todas as atualiza!es de segurana do sistema operacional dispon=veis.
*>. ?imite o n@mero de contas no sistema. ;esabilite contas desnecessArias e duplicadas para um mesmo usuArio. *$. -enomeie a conta BadministradorB. 2sso evita pelo menos que a grande maioria dos atacantes novatos tentem se logar facilmente utilizando a conta de administrador do sistema operacional. *%. ;esabilite as portas que no se encontram em uso. *(. Ctilize sempre o sistema de arquivos )4DS. :+. Se voc dese8a um n=vel de segurana maior, habilite o E4S 5EncrFpted 4ile SFstem1 em seu servidor. :,. Grie uma conta de usuArio restrito para o uso diArio. :# .Somente quando realmente necessArio utilizar a conta de administrador. :*. ;efinir permiss!es somente de leitura para o grupo de usuArios. 44. Obrgue seu usuros a gravarem documentos apenas no servdor. 0/8 Esta9:o 1i*2o;s Como nfezmente a grande maora das estaes de trabaho anda usam o Wndows, focare os passos a segur nessa pataforma. :<. Se a melhor escolha que o ?inuH no poss=vel, ento mude com urgncia para o Windows #+++ ou I. J Windows (% uma peneira s'. :>. -epita os passos #(,*#,** e *<. :$. ;esinstale tudo que o funcionArio no use no trabalho seu do dia0a0dia, isso inclui icq, .azaa, menssenger, cad, corel, 8ogos, etc. J funcionArio tem que entender que o computador uma ferramenta de trabalho, assim como a pA para o pedreiro e o giz para o professor. J funcionArio no tem que ficar misturando coisas pessoais com o trabalho. 2sso no bom e sempre dA problemas. :%. Kamais... eu escrevi K&9&2S..utilize o 2nternet EHplorer ou E 9C2DJ 9E)JS o Jutloo.. Droque os dois pelo 9ozilla ou 4ireboH e Dhunderbird respectivamente. Somente com essa troca, a incidncia de v=rus ira diminuir significativamente. :(. Cm @ltimo aviso/ &s m=dias de instalao e bac.up do Windows devem estar livres de v=rus e programas maliciosos. )o adianta voc formatar sua mAquina se o seu cd de instalao vem com v=rus 8unto. &credite ou no, isso mais comum do que se imagina, principalmente se o cd pirata. 8/ $ESSOAS Chegamos no cacanhar de Aques da segurana: o ser humano. Ouerendo ou no, somos o eo mas fraco da segurana e sso precsa ser trabahado para que possamos mnmzar os rscos, e uma das maneras de fazer sso atravs da potca de segurana. mprescndve que a organzao possua uma potca de segurana. Essa potca serve para que todas as possves ameaas se|am mnmzadas e combatdas efcentemente pea equpe de segurana responsve. Um exempo muto bom de uma potca de segurana votada para usuro encontra-se no ste do Humberto S Sartn (Apndce A). Agumas regras para o reforo dessa potca so stadas a segur: 50. Trenamentos e conscentzao sobre segurana so muto mportantes tambm. Fca dfc voc querer cobrar segurana de um funconro se ee nem sabe ao certo o que sso. 51. No fornecer dados pessoas, nmeros de cartes e senhas atravs de contato teefnco. 52. Fcar atento a e-mas ou teefonemas soctando nformaes pessoas. 53. |amas acessar stes ou nks recebdos por e-ma ou presentes em pgnas sobre as quas no se saba a procednca. 54. Sempre que houver dvda sobre a rea dentdade do autor de uma mensagem ou gao teefnca, entrar em contato com a nsttuo, provedor ou empresa para verfcar a veracdade dos fatos. 55. Eaborar sempre uma senha que contenha peo menos oto caracteres, compostos de etras, nmeros e smboos. 56. |amas dexe uma senha em branco. 57. Nunca utzar como senha seu nome, sobrenome, nmeros de documentos, pacas de carros, nmeros de teefones, datas que possam ser reaconadas com voc ou paavras constantes em dconros. 58. Utzar uma senha dferente para cada servo. 59. Aterar a senha com freqnca. 60. No escrever a senha num pape e o dexar debaxo do tecado, na mesa ou grudado no montor. 61. Para quem trabaha ou quer trabahar com segurana ou smpesmente o abacax sobrou para voc, a paavra-chave para uma constante segurana atuali5a9:o. Voc precsa se atuazar sempre. Sugro seeconar aguns stes de segurana e vstar no mnmo trs vezes ao da. Agora ateno! i+pres4i*2vel assnar um newsetter. Assnando um ou mas newsetters de quadade voc estar recebendo em seu ma as tmas notcas sobre segurana, am das tmas vunerabdades e avsos de segurana das mas varadas empresas. Por sso se gue! "O#"-US'O Todo e quaquer computador deve passar peos passos descrtos no vro, no mportando se o computador do presdente ou o controador de rego ponto. Para uma segurana 100% todos devem fazer sua parte. Isso porque enquanto a gente "perde" tempo com essa "cosa" de segurana tem um monte de "caras" tentando nos pre|udcar, para no escrever outra cosa. A busca da segurana dese|ada ao ambente de trabaho deve ser feta de forma smpes e efcaz. Inssto nsso porque s exstem duas maneras de se ter acesso a um computador. De forma egtma ou cta. A forma egtma quando voc acessa um sstema atravs da forma convencona, apresentando um ogn e senha. A foram cta quando voc expora fahas e vunerabdades do sstema e/ou ambente de trabaho. No exstem frmuas ou ataques mgcos. Ou voc tem acesso egtmo ou expora uma faha, assm que funcona. O grande trabaho que temos mnmzar ou zerar as fahas (conhecdas) do sstema e trenar nossos funconros contra engenhara soca e descudos no uso da nformao. Somente com conscentzaro e constante atuazao, que estaremos sempre um passo a frente dos nossos nmgos. Obrgado pea etura! Abraos, Dane Z A$<#D!"E = A Aguns nks seeconados para voc fcar anda mas por dentro do mundo da segurana. "e*tros 2e ate*2i+e*to > i*4i2e*tes Centro de Atendmento Incdentes de Segurana (CAIS-RNP) http://www.rnp.br/cas Centro de Emergnca em Segurana da Rede Tch (CERT-RS) http://www.cert-rs.tche.br NIC BR - Grupo de Segurana http://www.nc.br/nbso-po.htm SACC - Setor de Apurao de Crmes por Computador (Poca Federa) sacc@nc.br $ortais 2e segura*9a Securty Focus http://www.securtyfocus.com SecForum http"33www.secforum.com.br Lnux Securty http://www.nuxsecurty.com.br SecurtyDocs http://www.securtydocs.com Do4u+e*ta9:o e pu6li4a9?es Humberto S Sartn http://web.onda.com.br/humberto/ndex.htm Cartha de Segurana para Internet http://www.cg.org.br/acoes/cartha.htm Lnuxman.pro.br http://www.nuxman.pro.br RFCs about "Securty" http://www.cert.dfn.de/eng/resource/rfc Rede nacona de pesqusa http://www.rpn.br Dranch's HomePage - Lnux: A -REAL- O/S http://www.ecst.csuchco.edu/-dranch/LINUX/ndex-nux.htm#trntyos Outros Obscurdade http://www.nuxsecurty.com.br/sectons.php?op=vewartce&artd=4 Tom Dungan's coecton of nks http://www.epm.orn.gov/-dungan/securty.htm Computer and Network Securty Reference Index http://www.testra.com.au/nfo/securty.htm %EED@A"A 7ostou do livroL Dem alguma d@vida, sugesto ou cr=tica L Muer me a8udar a fazer a pr'Hima edio L ara qualquer uma das perguntas acima entre em contato comigo. & sua opinio muito importante. Email" danielNzilli.gulinuHsul.org Site" http"33zilli.gulinuHsul.org