: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011
TRABALHO FINAL DE SEGURANA EMPRESA XYZ Por: Jose Henriique Ribeiro dos Santos Tecnlogo em Redes de Computadores - Manh Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 ATIVOS E ANLISE DE RISCOS REFERENTE AO PROJETO APRESENTADO EMPRESA "XYZ" ATIVOS - Servidor Banco de Dados Servidor Banco de Dados software de procedncia duvidosa Servidor Banco de Dados antivrus atualizado Servidor Banco de Dados Acesso restrito ao servidor Servidor Banco de Dados manter BD atualizados Servidor Banco de Dados instalao prximo ao reservatrio de gua Servidor Banco de Dados equipamento de incndio sem manuteno Servidor Banco de Dados local com queda freqente de energia Servidor Banco de Dados sem servidor reserva Servidor Banco de Dados backups desatualizados e em local de fcil acesso Servidor Banco de Dados local do servidor de dados sem ar condicionado Servidor Banco de Dados freqentes invases detectadas ATIVOS - Servidor DNS MAIL Servidor DNS MAIL antivrus atualizado Servidor DNS MAIL sem senha de acesso Servidor DNS MAIL instalao no poro e local prximo a um lago Servidor DNS MAIL equipamento de incndio sem manuteno Servidor DNS MAIL local com queda freqente de energia Servidor DNS MAIL sem servidor reserva e antigo Servidor DNS MAIL sem backups e local de fcil acesso Servidor DNS MAIL local do servidor de dados sem ar condicionado Servidor DNS MAIL e-mails recebidos e abertos sem verificar procedncia Servidor DNS MAIL no possui uma configurao IP vlida para a rede. ATIVOS - Servidor HTTP-FTP Servidor HTTP-FTP protocolo usado antigo, desatualizado Servidor HTTP-FTP sem senha de acesso Servidor HTTP-FTP instalao no poro e local prximo a um lago Servidor HTTP-FTP equipamento de incndio sem manuteno Servidor HTTP-FTP local com queda freqente de energia Servidor HTTP-FTP servidor antigo Servidor HTTP-FTP local do servidor de dados sem ar condicionado Servidor HTTP-FTP Cabos danificados e conectores quebrados ATIVOS - Servidor de Arq. Internos Servidor Interno de Arquivos software de procedncia duvidosa Servidor Interno de Arquivos antivrus atualizado Servidor Interno de Arquivos Acesso restrito ao servidor Servidor Interno de Arquivos manter Arquivos Internos atualizados Servidor Interno de Arquivos instalao prximo ao reservatrio de gua Servidor Interno de Arquivos equipamento de incndio sem manuteno Servidor Interno de Arquivos local com queda freqente de energia Servidor Interno de Arquivos sem servidor reserva Servidor Interno de Arquivos backups desatualizados e em local de fcil acesso Servidor Interno de Arquivos local do servidor de dados sem ar condicionado Servidor Interno de Arquivos freqentes invases detectadas ATIVOS - Workstations - estaes Workstations Paredes midas devido a proximidade do lago Workstations Software de origem duvidosa Workstations Equipamentos mau configurados Workstations equipamentos antigos e com defeito Workstations link cai com freqncia Workstations local com queda freqente de energia Workstations estaes sem senha de acesso ATIVOS - Roteadores Roteadores roteador mau configurado Roteadores roteador mau configurado e conexes com defeito Roteadores Equip antigos e sem proced conf. e sem reposio Roteadores roteador mau configurado Vulnerabilidade Vulnerabilidade Vulnerabilidade Vulnerabilidade Vulnerabilidade usurio mau intencionado Falha na rede de internet Falha na rede de intranet Quebra Rede parada hackers falta de luz enchentes vrus erro de software Ameaas falta de luz quebra Software Ameaas alta temperatura quebra do servidor fogo Configurao Umidade acesso fcil Falha na rede falta de atualizao backup alagamento invaso Ameaas hackers backup Ameaas usurio mau intencionado fogo quebra do servidor Sem link com a Internet alta temperatura falta de luz falta de luz enchentes vrus alta temperatura mensagem no entregue quebra do servidor alta temperatura usurio mau intencionado AUDITORIA REALIZADA NA EMPRESA XYZ NO QUE SE REFERE A SEGURANA DE REDES. Ameaas erro de software Vulnerabilidade fogo hackers Ameaas quebra do servidor fogo falta de atualizao vrus usurio mau intencionado enchentes falta de luz backup Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 ATIVOS - Usurio Ameaas Vulnerabilidade Usurios Acessos Indevidos equipamentos sem senha de segurana Usurios Furto de Informaes base de informaes de fcil acesso desprotegida Usurios Fraude Eletrnica usurios terceirizam (emprestam) suas senhas Usurios DAnys ao Dados e Inf. Arquivadas senha fraca de fcil deduo Usurios Cpias no autorizadas dados de fcil acesso e sem senha de proteo Usurios Interceptao indevida de informao informaes trafegam sem criptografia Usurios dAnys ao equipamento e software sem treinamento e conhecimento das ferramentas de trabalho Usurios Violao da base de dados pessoais senha fraca de fcil deduo ATIVOS - Usurio Remoto Ameaas Vulnerabilidade Usurios Remotos Acessos Indevidos por terceiros equipamentos sem senha de segurana Usurios Remotos Furto de Informaes base de informaes de fcil acesso desprotegida Usurios Remotos Fraude Eletrnica usurios terceirizam (emprestam) suas senhas Usurios Remotos DAnys ao Dados e Inf. Arquivadas senha fraca de fcil deduo Usurios Remotos Cpias no autorizadas dados de fcil acesso e sem senha de proteo Usurios Remotos Interceptao indevida de informao informaes trafegam sem criptografia Usurios Remotos DAnys ao equipamento e software sem treinamento e conhecimento das ferramentas de trabalho Usurios Remotos Acesso a Base de dados porta de acesso desprotegida sem senha Usurios Remotos Violao da base de dados pessoais senha fraca de fcil deduo e sem criptografias ATIVOS - Protocolo VPN Gateway Ameaas Vulnerabilidade VPN - Virtual Private Networks Intercept no envio e receb de dados sem protocolos de segurana para trafego de dados entre filiais VPN - Virtual Private Networks Quebra do link com as filiais link de acesso via modem VPN - Virtual Private Networks Invaso sem uso de protocolos apropriados para trafego de dados
ATIVOS - Servidor RAS Ameaas Vulnerabilidade RAS - Remote Access Services Acesso ao servidor e outro hosts sem configurao de criptografia RAS - Remote Access Services Acesso ao BC de Dados e outros serv. no configurada senha de proteo RAS - Remote Access Services falha no acesso a outros servidores SSh desatualizado e mal configurado RAS - Remote Access Services Freqentes atualizaes do SO SO Windows NT desatualizado RAS - Remote Access Services mau funcionamento servidor mau configurado ATIVOS - NAT - Number Address Translator Ameaas Vulnerabilidade NAT - Prot. de Trad. de End. IP sem converso de endereos IP sem configurao Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 NOVO PROJETO DE REDES COM ALTERAES: Trabalho a Implementar para Melhoria na Redes: Evento - Serv. Banco de Dados Probab. Impacto Risco Trabalho erro de software alta alto alto prevenir vrus alta mdio alto prevenir usurio mau intencionado media alto mdio prevenir falta de atualizao alta mdio mdio prevenir enchentes media alto alto prevenir fogo media alto mdio prevenir falta de luz alta alto alto prevenir quebra do servidor media alto mdio mitigar backup alta alto alto prevenir alta temperatura alta alto alto prevenir hackers alta mdio mdio prevenir Soluo a implementar substituir softwares de procedncia duvidosa por implementar poltica de antivrus atualizados e verificar polticas de acesso com monitoramento on localizar e implementar atualizaes on line. remover servidor para local mais seguro afastado. implementar poltica de incndio, sprinter, extintores providenciar energia alternativa com geradores e no- providenciar servidor reserva com banco de dados manter backups atualizados e em local protegido e providenciar refrigerao na sala do servidor configurado para a temperatura ideal para os mesmos. implementar firewall, manter servidor em rede segura com senha de criptografia de 128 bits. Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 Evento - Serv. DNS MAIL SMTP - porta 25 Probab. Impacto Risco Trabalho vrus alta mdio mdio prevenir usurio mau intencionado mdio alto mdio prevenir alagamento mdio alto alto prevenir fogo media alto mdio prevenir falta de luz alta alto alto prevenir quebra do servidor baixa alto mdio aceitar backup alta alto alto prevenir alta temperatura alta alto alto prevenir hackers alta mdio mdio prevenir mensagem alta alto alto prevenir Soluo a implementar implementar poltica de firewall e antivrus atualizado e licenciados. verificar polticas de acesso com monitoramento on remover servidor para local mais seguro afastado do implementar poltica de incndio, sprinter, extintores de CO2 e situar o servidor longe de materiais inflamveis. providenciar energia alternativa com geradores e no- devido a custo, verificar a viabilidade de providenciar manter backups atualizados e em local protegido e providenciar refrigerao na sala so servidor configurado para a temperatura ideal para os mesmos. implementar firewall, manter servidor em rede segura com senha de criptografia de 128 bits. verifique se as configuraes TCP/IP do computador cliente esto corretas, especialmente as configuraes que so usadas para resoluo de nomes DNS. Evento - Servidor HTTP-FTP Probab. Impacto Risco Trabalho invaso alta alto alto prevenir usurio mau intencionado media alto mdio prevenir alagamento mdio alto alto prevenir fogo media alto mdio prevenir falta de luz alta alto alto prevenir quebra do servidor media alto mdio prevenir alta temperatura alta alto alto prevenir Sem link com a Internet alta mdio alto prevenir Soluo a implementar implementar senha, instale o autobackup do seu banco de dados, caso seja invadido seus dados estaro seguros e copiados. como 100% de segurana no existe, deve-se dificultar o mximo, proteger as portas de acesso com senhas fortes e criptografadas, firewall e monitorando e limitando o acesso desses usurios. remover servidor para local mais seguro afastado do reservatrio de gua. implementar poltica de incndio, sprinter, estertores de CO2 e situar o servidor longe de materiais inflamveis. providenciar energia alternativa com geradores e no- breaks. providenciar servidor reserva com banco de dados providenciar refrigerao na sala so servidor implementar link alternativo e seguro. Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 Evento - Serv. de Ar. Internos Probab. Impacto Risco Trabalho erro de software media alto alto prevenir vrus media alto mdio prevenir usurio mau intencionado media alto mdio prevenir falta de atualizao alta alto alto prevenir enchentes media alto alto prevenir fogo media alto alto prevenir falta de luz alta alto alto prevenir quebra do servidor baixa alto mdio mitigar backup media alto alto prevenir alta temperatura alta alto alto prevenir hackers media alto alto prevenir Soluo a implementar software licenciados e atualizado. implementar poltica de antivrus atualizados e licenciados. verificar polticas de acesso com monitoramento on line e providenciar senha criptografadas para acesso ao servidor. implementar poltica de atualizaes on line e dirias. remover servidor para local mais seguro afastado. implementar poltica de incndio, sprinter, extintores providenciar energia alternativa com geradores e no- providenciar servidor reserva com banco de dados atualizados espelhado ao servidor principal. manter backups atualizados e em local protegido e providenciar refrigerao na sala so servidor implementar firewall, manter servidor em rede Evento - Estaes - Workstations Probab. Impacto Risco Trabalho Umidade alta alto mdio prevenir Software mdio alto mdio prevenir Configurao mdio mdio mdio mitigar quebra baixa alto baixo aceitar Falha na rede mdio alto mdio mitigar falta de luz alta alto alto prevenir acesso fcil alta alto alto prevenir Soluo a implementar providenciar a transferncia das estaes para local apropriado sem umidade. utilizar softwares licenciados e atualizados. providenciar configurao corretas nas estaes. providenciar manuteno preventiva nas estaes e equipamentos de reserva para substituio. implementar link alternativo e seguro. providenciar energia alternativa com geradores e no- breaks. Implementar Workstations mais avanadas onde implementar senhas criptografadas seguras nas Evento - Roteadores Probab. Impacto Risco Trabalho Falha na rede de internet e intranet media alto alto prevenir Quebra baixa alto mdio mitigar Soluo a implementar providenciar configuraes por profissional de TI habilitado. Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 providenciar manuteno preventiva nos equipamentos e manter equipamento reserva para substituio. Evento - Usurios Probab. Impacto Risco Trabalho Acessos Indevidos alta alto alto prevenir Furto de Informaes alta alto alto prevenir Fraude Eletrnica media alto alto prevenir DAnys ao Dados e Inf. Arquivadas alta alto alto prevenir Cpias no autorizadas media alto mdio prevenir Interceptao indevida de informao baixa alto mdio prevenir dAnys ao equipamento e software media alto baixo aceitar Violao da base de dados pessoais alta alto alto prevenir Soluo a implementar providenciar senhas de acesso seguro e criptografadas. providenciar senhas de acesso seguro e criptografias e usurios devidamente com nveis de acesso. providenciar senhas de acesso seguro e criptografadas. identificar cada acesso de usurio. implementar senhas criptografadas seguras nas estaes e identificar cada acesso de usurio. providenciar criptografias e links com trfico seguro. identificar cada acesso de usurio com senha e logins. implementar senhas criptografadas seguras nas estaes e identificar cada acesso de usurio. Evento - Usurios Remotos Probab. Impacto Risco Trabalho Acessos Indevidos por terceiros alta alta alto prevenir Furto de Informaes alta alta alto prevenir Fraude Eletrnica media alta alto prevenir DAnys ao Dados e Inf. Arquivadas media alta mdio prevenir Cpias no autorizadas media alto mdio prevenir Interceptao indevida de informao baixa alto mdio prevenir DAnys ao equipamento e software media alto baixo aceitar Acesso a Base de dados alta alto alto prevenir Violao da base de dados pessoais alta alto alto prevenir Soluo a implementar providenciar senhas de acesso seguro e criptografadas e aplicar regras para sua utilizao como, no emprestar a sua senha a terceiros. providenciar senhas de acesso seguro e criptografadas. providenciar senhas de acesso seguro e criptografias e usurios devidamente com nveis de acesso. providenciar senhas de acesso seguro e criptografadas. identificar cada acesso de usurio. implementar senhas criptografadas seguras nas estaes e identificar cada acesso de usurio. providenciar criptografias e links com trfego seguro. identificar cada acesso de usurio com senha e logins. implementar senhas criptografadas seguras nas estaes e identificar cada acesso de usurio. Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 Evento - VPN - Virtual Private Networks Probab. Impacto Risco Trabalho Interceptao no envio e recebimento de dados alta alto alto prevenir Quebra do link com as filiais media alto mdio prevenir Invaso alta alto alto prevenir Soluo a implementar providenciar senhas de acesso seguro e criptografadas. implementar link alternativo e seguro. implementar firewall e prxis com restries de acesso. Evento - RAS - Remote Access Services Probab. Impacto Risco Trabalho Acesso ao servidor e outro hosts alta alto alto prevenir Acesso ao Banco de dados e outros servidores alta alto alto prevenir falha no acesso a outros servidores alta alto alto prevenir Freqentes atualizaes do SO media alto alto prevenir mau funcionamento alta alto alto prevenir Soluo a implementar implementar firewall e prxis com restries de acesso. implementar senhas criptografadas seguras nas estaes e identificar cada acesso de usurio. implementar link alternativo e seguro. implementar atualizaes on line e peridicas. implementar manuteno peridica nos equipamentos. Substituir RAS por Firewall Evento - NAT - Protocolo de Traduo. de End. IP Probab. Impacto Risco Trabalho sem converso de endereos IP alta alto alto prevenir Soluo a implementar Configurar uma porta especial no NAT em parceria do firewall, Permitir conexes da Internet para a rede interna da empresa. TABELA DE REGRAS PARA POLTICA DE FIREWALL DA EMPRESA XYZ Origem Porta Destino Porta Protocolo Ao Any 7 echo 7 TFP Aceitar Any 11 cesta 11 TFP Aceitar Any 19 chargen 19 TFP Aceitar Any 21 FTP - data 21 TFP Aceitar Any 22 ssh 22 TFP Aceitar Any 23 telnet 23 TFP Aceitar Any 25 smtp 25 TFP Aceitar Any 42 namesserver 42 TFP Aceitar Any 43 whois 43 TFP Aceitar Any 49 tacacs 49 udp Aceitar Any 53 dns-lookup 53 udp Aceitar Any 53 dns-zone 53 TFP Aceitar Any 66 oraqule-sqlnet 66 TFP Aceitar Any 69 TFP 69 udp Aceitar Any 79 finger 79 TFP Aceitar Any 80 HTTP 80 TFP Aceitar Any 81 HTTP-1 81 TFP Aceitar Any 88 kerberus 88 TFP Aceitar Any 109 pop2 109 TFP Aceitar Any 110 pop3 110 TFP Aceitar Any 111 sunrpc 111 TFP Aceitar Any 118 sqlserv 118 TFP Aceitar Any 119 nntp 119 TFP Aceitar Any 135 ntrpc-or-dce 135 TFP Aceitar Any 139 netbios 139 TFP Aceitar Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 Any 143 imap 143 TFP Aceitar Any 161 snmp 161 udp Aceitar Any 162 snmp-trap 162 udp Aceitar Any 179 bgp 179 TFP Aceitar Any 256 snmp-checkpoint 256 TFP Aceitar Any 389 idap 389 TFP Aceitar Any 396 netware-ip 396 TFP Aceitar Any 407 timbuktu 407 TFP Aceitar Any 443 HTTPS 443 TFP Aceitar Any 513 rlogin 513 TFP Aceitar Any 513 rwho 513 udp Aceitar Any 514 rshell 514 TFP Aceitar Any 514 syslog 514 udp Aceitar Any 515 printer 515 TFP Aceitar Any 515 printer 515 udp Aceitar Any 520 router 520 udp Aceitar Any 524 netware-ncp 524 TFP Aceitar Any 799 remotelypossible 799 TFP Aceitar Any 1080 socks 1080 TFP Aceitar Any 1024 mot-cab-mod-tel 1024 TFP Aceitar Any 1313 bmc-patrol-db 1313 TFP Aceitar Any 1352 notes 1352 TFP Aceitar Any 1433 ms-sql 1433 TFP Aceitar Any 1494 citrix 1494 TFP Aceitar Any 1498 sybase-sql-aniwhare 1498 TFP Aceitar Any 1524 ingres-lock 1524 TFP Aceitar Any 1525 oracle-serv 1525 TFP Aceitar Any 1527 oracle-tli 1527 TFP Aceitar Any 1723 pptp 1723 TFP Aceitar Any 1745 winsock-proxi 1745 TFP Aceitar Any 2000 remotely-anywhere 2000 TFP Drop (Descartar) Any 2001 cisco-mgmt 2001 TFP Aceitar Any 2049 nfs 2049 TFP Aceitar Any 2301 compac-web 2301 TFP Aceitar Any 2447 openwiew 2447 TFP Aceitar Any 2998 realsecure 2998 TFP Drop (Descartar) Any 3300 bmc-patrol-agent 3300 TFP Aceitar Any 3306 mysql 3306 TFP Aceitar Any 3351 ssql 3351 TFP Aceitar Any 4000 cisco-mgmt 4000 TFP Aceitar Any 4025 nfs-lockt 4025 TFP Aceitar Any 5631 pcanywhere 5631 TFP Aceitar Any 5800 vnc 5800 TFP Aceitar Any 6000 xwindows 6000 TFP Aceitar Any 6001 cisco-mgmt 6001 TFP Aceitar Any 6549 apc 6549 TFP Aceitar Any 6667 irc 6667 TFP Aceitar Any 8000 web 8000 TFP Aceitar Any 8001 web 8001 TFP Aceitar Any 8002 web 8002 TFP Aceitar Any 8080 web 8080 TFP Aceitar Any 9001 cisco-sremote 9001 TFP Aceitar Any 12345 netbus 12345 TFP Aceitar Any 26000 queke 26000 TFP Aceitar Any 31337 backorifice 31337 udp Aceitar Any 32771 rpc=solaris 32771 TFP Aceitar Any 32780 snmp-solaris 32780 udp Aceitar Any 43188 reachout 43188 TFP Aceitar Any 65301 pcanywhere-def 65301 TFP Aceitar CONCLUSO: Como visto anteriormente, no podemos tornar um ambiente totalmente seguro devido a diversos fatores j visto,mas podemos tornar o ambiente o mais prximo possvel, sempre implementando segurana, alterando as senhas periodicamente, criptografando com com algoritmos fortes. Quando falamos em segurana, vem em mente um grande cadeado, tornando uma determinada rea segura como se fosse um banco onde semente pessoas credenciadas e com autorizao podem ter acesso as informaes nas bases de dados. Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com Segurana de Sistemas - Prof.: Hunder - Faculdade de Tecnologia Senacrs - 26/06/2011 Vulnerabilidade Vulnerabilidade Vulnerabilidade Vulnerabilidade Vulnerabilidade Vulnerabilidade Por: Jos Henriique Ribeiro dos Santos -Tecnlogo em Redes de Computadores - Faculdade de tecnologia Senacrs e-mail: operadorrede@gmail.com