Escolar Documentos
Profissional Documentos
Cultura Documentos
ATENÇÃO:
Este manual não pode ser reproduzido total ou parcialmente sem a autorização da NHK -
Formação e Novas Tecnologias, Unipessoal, Lda
Índice
V02 -3-
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
INTRODUÇÃO..............................................................................................5
Planeamento da Instalação de um Sistema Operativo...........................5
A Localização da Sala do Servidor........................................................6
SEGURANÇA DOS DADOS.............................................................................7
Os Discos................................................................................................7
Soluções RAID........................................................................................9
Actualização do Sistema.......................................................................10
Antivírus................................................................................................12
Backup / Copias de segurança.............................................................13
SEGURANÇA A NÍVEL DOS UTILIZADORES..................................17
UTILIZADORES E GRUPOS..........................................................................17
PERMISSÕES..............................................................................................20
POLITICAS LOCAIS.....................................................................................22
Politicas de Palavra Passe...................................................................22
Politicas de Bloqueio de Conta............................................................23
Atribuição de direitos de utilizadores / User right assigment..............24
Opções de segurança / security options...............................................25
Politicas de auditoria...........................................................................26
Public Key Policies...............................................................................29
FIREWALL - ISA SERVER 2006............................................................31
CONFIGURAÇÃO DO ISA SERVER.............................................................32
Schedules..............................................................................................33
URL Sets / Domain name Sets.........................................................34
Computers/ Address Ranges.............................................................35
Protocolos.........................................................................................36
Content Types...................................................................................38
Firewall policy......................................................................................39
Criar/Editar Regras...........................................................................39
Monitorização.......................................................................................45
Logs..................................................................................................45
Reports..............................................................................................46
Alerts................................................................................................51
SEGURANÇA NO LINUX........................................................................52
GESTÃO DE UTILIZADORES.......................................................................52
PERMISSÕES..............................................................................................54
FIREWALLS...............................................................................................56
ACESSO REMOTO.......................................................................................63
PARTILHA DO AMBIENTE DE TRABALHO..................................................64
LIGAÇÃO A UM AMBIENTE DE TRABALHO REMOTO................................65
BIBLIOGRAFIA........................................................................................66
V02 -4-
Manual de Segurança de redes MI01-1005
INTRODUÇÃO
Cada vez mais estamos dependentes dos computadores, que
acumulam um grande conjunto de dados vitais para as empresas.
PLANEAMENTO DA INSTALAÇÃO DE UM
SISTEMA OPERATIVO
Um dos grandes problemas em termos de segurança num servidor
passa pelas instalações padrão, ou quando elas não existem, na
instalação Next-Next (Seguinte-Seguinte). Ou seja escolher as
opções pré-definidas pelo fabricante para a instalação. Em muitos
casos é mais rápido e prático, porém muito inseguro, pois é
exactamente nas configurações padrão que se baseiam muitos
hackers para penetrar nos sistemas. Estas instalações também não
são as ideais pois são instalados muitos serviços desnecessários
para a função do servidor, que abrem portas de entrada para o
sistema.
Nunca se deve cair na tentação de instalar tudo pois pode vir a ser
necessário no futuro. Instala-se apenas o que necessitamos no
V02 -5-
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
Claro que devemos ter em atenção que o IIS pode ser necessário
para outras aplicações. Por exemplo podem existir programas de
Antivírus que utilizem o IIS para configuração de clientes. É por isso
que o planeamento e conhecimento dos programas é muito
importante.
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q263201
V02 -6-
Manual de Segurança de redes MI01-1005
OS DISCOS
O primeiro passo a tomar quando se fala de segurança de dados
deve ser a forma como os dados são guardados. Para um
computador desktop muitas vezes não é importante o tipo de discos
a usar nem configuração de tolerância a falhas, mas no caso dos
servidores o caso muda de figura.
Os discos IDE são os mais vulgares e por isso mais baratos. Apesar
das melhorias nos discos nos últimos anos, ainda são um pouco
inseguros para serem colocados nos servidores. A opção por discos
IDE, apenas deve ser tomada, em servidores menos importantes
Os discos SCSI são mais seguros e rápidos, pelo que deverão ser a
opção para os servidores mais importantes da empresa.
V02 -7-
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
V02 -8-
Manual de Segurança de redes MI01-1005
SOLUÇÕES RAID
Uma outra solução que deve ser implementada ao nível do Sistema
Operativo no que concerne aos discos é o R.A.I.D. (Redundant Array
of Inexpensive Disks).
V02 -9-
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
ACTUALIZAÇÃO DO SISTEMA
Uma das grandes falhas de alguns administradores de segurança
são a falta de actualizações dos programas que utilizam, com
especial destaque para os Sistemas Operativos.
V02 - 10 -
Manual de Segurança de redes MI01-1005
25/01/2003 05:29
25/01/2003 06:00
http://v4.windowsupdate.microsoft.com/pt/default.asp
V02 - 11 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
ANTIVÍRUS
Muito ligado ao ponto anterior do manual temos os antivírus. Com a
proliferação de vírus (o ano de 2003 foi negro nesta área!) é
importante possuir um bom antivírus actualizado.
Não é objectivo deste manual indicar qual o antivírus que deverá ser
utilizado, aconselhando-se os formadores a analisarem os vários
antivírus que existem no mercado, ver quais as vantagens e
desvantagens dos mesmos.
V02 - 12 -
Manual de Segurança de redes MI01-1005
V02 - 13 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
V02 - 14 -
Manual de Segurança de redes MI01-1005
quando clicamos em
start Backup (Iniciar
Copia de segurança)
surge-nos uma janela
onde podemos indicar
a descrição do backup.
Também podemos
indicar se queremos
que o backup seja
acrescentado ao
ficheiro (caso o ficheiro já exista) ou se queremos que ele substitua o
ficheiro já existente. A primeira opção permite termos acesso a backups
V02 - 15 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
mais antigos mas irá ocupar muito mais espaço (imaginemos que estanos a
fazer um backup diário de 4 Gb, cada dia o ficheiro irá aumentar cerca de 4
Gb…).
Para percebermos os
tipos de backup, temos de
saber como é que os
programas de backup
tratam os ficheiros
quando fazem o backup.
Todos os ficheiros/pastas
têm um atributo que
indica se já foram
incluídos em algum
backup (Atributo A ou
Arquive/arquivo). Sempre
que o ficheiro é criado ou modificado este atributo é activado. Quando é
efectuado o backup desse ficheiro/pasta o atributo é desactivado.
V02 - 16 -
Manual de Segurança de redes MI01-1005
UTILIZADORES E GRUPOS
A forma mais correcta de definir a segurança numa rede é através da
criação de contas de utilizadores individuais, atribuir as contas a grupos e
definir as permissões aos grupos.
Abrindo esta consola, podemos aceder à opção Local Users and Groups
(Utilizadores e Grupos Locais), para visualizar os utilizador ou grupos
existentes no computador
V02 - 17 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
Opção Explicação
User must change password on the next logon Com esta opção activa, quando o utilizador
V02 - 18 -
Manual de Segurança de redes MI01-1005
(o utilizador tem de mudar a palavra no proximo efectuar o próximo logon terá de mudar a
logon) sua palavra passe.
User cannot change password Activando esta opção estamos a impedir
(O utilizador não pode mudar a palavra passe) que o utilizador possa mudar a palavra
passe.
Password never expires Esta opção impede que a palavra passe
(A palavra passe nunca expira) possa expirar (como vamos ver mais à
frente, por omissão as palavras passe
expiram de 42 em 42 dias)
Account is disabled Esta opção serve para desactivar
(A conta está desactivada) temporariamente uma conta de utilizador
(por exemplo quando ele vai de férias)
Aqui só temos de escolher o grupo, clicando duas vezes sobre ele, na janela
que irá aparecer tem uma lista dos membros do grupo. Só temos de clicar
em Add (Adicionar) para escolher o utilizador pretendido através de outra
janela.
V02 - 19 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
PERMISSÕES
O Windows 2000 pode ser instalado numa partição FAT ou numa partição
NTFS. Actualmente, e por motivos de segurança e de estabilidade
deveremos escolher sempre o NTFS.
V02 - 20 -
Manual de Segurança de redes MI01-1005
Read &
Permissões Especiais Full Control Modify Read Write
Execute
Traverse Folder/Execute
X x x
File
List Folder/Read Data x x x X
Read Attributes x x x X
Read Extended
x x x X
Attributes
Create Files/Write Data x x x
Create Folders/Append
x x x
Data
Write Attributes x x x
Write Extended
x x x
Attributes
Delete Subfolders and
x
Files
Delete x x
Read Permissions x x x x x
Change Permissions x
Take Ownership x
Synchronize x x x x x
V02 - 21 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
Deve ser dada uma atenção especial à opção Deny (negar). Uma coisa é
não permitir (nada colocar na coluna do Allow (permitir)), outra coisa
totalmente diferente é negar o acesso à pasta/ficheiro.
POLITICAS LOCAIS
Em termos do Windows 2000 (versões Server e Pro) e do Windows XP, o
local onde se podem definir as opções de politicas de Palavras Passe é na
consola Politica de Segurança Local (Local Security Policy). (Está nas
ferramentas Administrativas/Administrative Tools)
V02 - 22 -
Manual de Segurança de redes MI01-1005
V02 - 23 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
V02 - 24 -
Manual de Segurança de redes MI01-1005
V02 - 25 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
POLITICAS DE AUDITORIA
Um dos grandes erros dos administradores de sistema é muitas vezes
esperarem que algo aconteça de errado para depois tentarem resolver o
problema. Aí muitas vezes é tarde demais.
V02 - 26 -
Manual de Segurança de redes MI01-1005
Nome Descrição
Audit account logon events Estas duas politicas de auditoria permitem analisar os eventos
(auditar eventos de logon de de logon, ou seja, quem acedeu ou tentou aceder ao
contas) computador.
Audit logon events (auditar
eventos de logon)
Audit object Access (Auditar Com esta politica podemos auditar o acesso aos objectos
acesso a objectos) (Pastas ou ficheiros)
Audit account Management Permite auditar a gestão de contas (quem criou ou modificou
(auditar gestão de contas) contas de utilizador)
Audit Policy changes (auditor Permite auditar as alterações das politicas
alterações de politicas)
V02 - 28 -
Manual de Segurança de redes MI01-1005
Neste caso podemos ver os registos das auditorias que foram activadas
(são todas referentes a logons efectuadas, ou pelo System ou pelo
Administrator. Os do System referem-se a logons que o próprio Windows
poderá fazer a nível interno – Serviços que estão a ser executados, por
exemplo).
Nota:
V02 - 29 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
V02 - 30 -
Manual de Segurança de redes MI01-1005
Para estes últimos recomenda-se o mesmo que foi referido no caso dos
antivírus: analisem o mercado para ver se encontram uma firewall que
melhor se ajuste às suas necessidades. Existem algumas firewalls bastante
boas gratuitas na Internet, assim como outras não gratuitas.
Antes de mais o que é uma firewall? Uma Firewall é um programa que filtra
Firewall
V02 - 31 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
No caso do ISA Server como já foi referido ele trabalha como firewall e
como proxys.
V02 - 32 -
Manual de Segurança de redes MI01-1005
Nesta janela podemos ver várias opções, do lado direito temos o separador
Toolbox, e é o local onde podemos configurar ou definir os elementos que
vão ser controlados pelo ISA (Computadores, Destinos, Protocolos,
etc…),ou as politicas de acesso dos elementos criados (se podem ou não
aceder à Internet, se pode ou não receber uma determinada informação,
etc…).
SCHEDULES
Esta é a opção mais simples de todas. Apenas tem de clicar com o botão do
lado direito do rato e escolher Novo (New) Schedule. Depois será só
indicar o nome desta Schedule, e os horários que ela vai controlar.
V02 - 33 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
V02 - 34 -
Manual de Segurança de redes MI01-1005
V02 - 35 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
Para criar uma gama de endereços, clicamos com o botão do lado direito
do rato em address range, novo address
range.
Protocolos
Serve para definir quais os protocolos que vao ser
utilizados pela empresa. Os protocolos principais já estão
definidos, mas pode ter algum software específico que
necessite de usar um protocolo especifico, sendo que é
por aqui que poderemos definir as características desse
protocolo.
V02 - 36 -
Manual de Segurança de redes MI01-1005
V02 - 37 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
Content Types
Os content types servem para se definirem os conteúdos que os
utilizadores podem descarregar da Internet. Com os content Types pode-se
depois indicar se permiteou não que os utilizadores possam visualizar
imagens, vídeos, MP3 e outros tipos de conteúdos.
V02 - 38 -
Manual de Segurança de redes MI01-1005
FIREWALL POLICY
Agora que temos as configurações criadas, temos de definir as Regras. É
com estas que podemos de facto restringir os acessos à Internet e a outros
pontos de interesse relacionados com as politicas de funcionamento da
empresa.
Por omissão quando se instala o ISA server, ele configurado para negar
todos os acessos, isto quer dizer que ele não aceita os pedidos dos
computadores, bloqueando tudo. Esta regra tem o nome de Default Rule, e
entra em funcionamento, quando não existem regras criadas, ou quando
todas as outras falham. Esta regra não pode ser apagada, ou editada.
Criar/Editar Regras
Permitem indicar como os utilizadores podem aceder a determinados
sites/conteúdos.
V02 - 39 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
Para criar uma regra, basta clicar com o botão do lado direito do rato em
cima de Firewall policy – New – Access Rule:
Escolher um nome.
V02 - 40 -
Manual de Segurança de redes MI01-1005
V02 - 41 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
V02 - 42 -
Manual de Segurança de redes MI01-1005
V02 - 43 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
V02 - 44 -
Manual de Segurança de redes MI01-1005
MONITORIZAÇÃO
O ISA Server permite a criação de reports com os acessos à Internet. Estes
reports são baseados nos Logs registos que ele cria. Como pagina inicial, é
mostrado o dashboard, que tem as informações gerais do que se esta a
passar.
Logs
Os logs estão definidos no item Monitoring configuration, Logs.
V02 - 45 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
Reports
Os reports vão buscar dados aos logs para nos apresentarem relatórios de
fácil consulta e analise.
Nesta opção poderemos agendar um report para que este seja criado com
alguma periodicidade de uma forma automática.
Para criarmos um report, vamos à opção Create and configure Report Jobs.
V02 - 46 -
Manual de Segurança de redes MI01-1005
V02 - 47 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
V02 - 48 -
Manual de Segurança de redes MI01-1005
Ou entao, que seja enviado por email. Para este caso devem ser
configurados todos os parametros da conta de email, inclusivé o nome do
servidor de envio (SMTP).
Depois de criado, o relatorio pode ser editado, e pode ser configurado por
exemplo o horario abrangido pelo mesmo.
V02 - 49 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
V02 - 50 -
Manual de Segurança de redes MI01-1005
Alerts
Os alertas servem como o nome indica para que o ISA Server nos nossa
informar de que alguma coisa possa estar a ocorrer mal.
O ISA por omissão já tem todos os alertas definidos, única coisa que
deveremos fazer é activar/desactivar os alertas pretendidos.
Entre os vários alertas disponíveis temos o Intrusion Detected (intrusos
detectados) que nos informa de que poderão ter tentado invadir a nossa
rede.
No separador Events
podemos definir melhor o
que poderá despoletar o
Alerta, Condições adicionais
(port scan, por exemplo),
quantas ocorrências antes
do alerta ser activado, ou
quantas ocorrências por
segundo.
V02 - 51 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
SEGURANÇA NO LINUX
O sistema operativo Linux é uma forte alternativa ao Windows. Apesar de
não ser tão amigável como o Sistema Operativo da Microsoft, esta a
começar a aparecer em muitas empresas, principalmente a nível de
servidores.
Hoje existem várias empresas que têm distribuições linux, que são
compilações dos principais programas Linux, reunidos à volta do Kernel
(núcleo) do Linux. Estas distribuições apesar de poderem ser compradas (aí
teremos acesso a manuais impressos, suporte técnico, entre outras coisas)
estão igualmente disponíveis para download nos sites dessas empresas.
O Linux é hoje um sistema operativo completo, cheio de ferramentas
poderosas quer para o trabalho individual quer para o trabalho empresarial
(não só para estações de trabalho, como também para servidores). De
facto são cada vez mais as empresas que estão a optar por este sistema
operativo.
GESTÃO DE UTILIZADORES
Tal como o Windows, o Linux também permite definir os seus utilizadores.
Para tal podemos usar ferramentas gráficas ou a linha de comandos.
V02 - 52 -
Manual de Segurança de redes MI01-1005
userdel –r <utilizador>
Com este comando podemos usar a opção –r. esta opção vai também
remover a pasta do utilizador, com todos os ficheiros e configurações que
ele possa ter criado. A utilização desta opção é facultativa.
V02 - 53 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
PERMISSÕES
Quando listamos o conteúdo de uma directoria com o comando ls –l, é-nos
apresentada uma lista de ficheiros e/ou directorias. Cada um desses
elementos terá uma linha com a seguinte apresentação:
Olhando com atenção para a parte das permissões, elas estão estruturadas
da seguinte forma:
- r w - r w - r - -
Proprietário Grupo outros
R W X
0 0 0 0
1 0 0 1
2 0 1 0
3 0 1 1
4 1 0 0
5 1 0 1
6 1 1 0
7 1 1 1
V02 - 54 -
Manual de Segurança de redes MI01-1005
por exemplo:
chmod 740 ficheiro
- Opção1, serve para indicar, para quem é que vai mudar os atributos do
ficheiro:
u - Para mudar os atributos do ficheiro para o dono do
ficheiro.
g - Para mudar os atributos ao grupo a que o ficheiro
pertence.
o - Para mudar os atributos para todos os outro utilizadores.
- NOTA: Antes de introduzir a opção2, por primeiro o sinal “+” ou “–“ para
adicionar ao remover a respectiva opção.
V02 - 55 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
FIREWALLS
Sempre que se fala em redes, Internet, á que referir a sua segurança, pois
hoje em dia e cada vez mais temos de apertar a segurança nas nossas
redes, quer em casa ou no trabalho. Isto porque nem todas as pessoas
acedem aos serviços da Internet com as melhores das intenções. Os
Hackers, são pessoas que entram nos computadores e vasculham os
documentos privados, se ficarem por aqui tudo bem, pois não afecta o
sistema, agora quando falamos de crackers a conversa já é outra, os
objectivos destes é destruir como um vírus, originando grandes prejuízos
para empresas ou particulares.
V02 - 56 -
Manual de Segurança de redes MI01-1005
Se optar por pelo nível Médio a firewall não permite acesso aos serviços
que utilizam portas inferior a 1024 e ao serviço NFS.
V02 - 57 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
Opção:
Dados:
-s (Source) indica a origem do pacote
-d (destinatio) indica o destino do pacote
-p (protocol) indica o protocolo
-i (in-interface) indica a interface (placa de rede) de entrada
-o (out-interface) indica a interface (placa de rede) de saída
V02 - 58 -
Manual de Segurança de redes MI01-1005
! Exclui o dado
--sport (source port) para indicar qual a porta de origem do pacote (para ser
usado com a opção –p)
--dport (destination port) para indicar qual a porta de destino do pacote
(para ser usado com a opção –p)
Exemplo: -s 10.0.0.0/255.0.0.0
-d 192.20.30.0/24
Exemplo: -s 172.21.100.10
-d 172.21.100.10/255.255.255.255
Exemplo: -p icmp
As opções -i e –o:
Exemplo: -i eth0
Exemplo: -i eth+
A opção ! é usada com -s, -d, -p, -i, -o e outros, para excluir o argumento.
Exemplo: -s ! 10.0.0.1 (qualquer endereço de entrada, excepto o
10.0.0.1. )
V02 - 59 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
As sub opções --sport e –dport só podem ser usadas com as opções -p udp
e -p tcp.
iptables –L
iptables –F
V02 - 60 -
Manual de Segurança de redes MI01-1005
Já entre as regras:
V02 - 61 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
iptables-save>ficheiro
iptables-restore<ficheiro
V02 - 62 -
Manual de Segurança de redes MI01-1005
Existe, ainda, uma regra muito importante que não é uma extensão mas
também pode ser utilizada como segurança. É a protecção contra pacotes
danificados ou suspeitos:
ACESSO REMOTO
O linux permite o acesso remoto ao computador de uma forma segura.
Esse processo é feito pelo comando ssh (Secure SHell).
ssh 172.21.0.1
Caso seja a primeira vez que se esteja a aceder a essa maquina vai-nos ser
pedida a confirmação do acesso, ao que devemos escrever yes.
V02 - 63 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
Existe uma forma simples para verificar se está algum utilizador a aceder à
nossa máquina remotamente:
V02 - 64 -
Manual de Segurança de redes MI01-1005
Clique no botão Criar um convite pessoal e irá surgir uma janela com todos
os dados necessários para que seja possível partilhar o ambiente de
trabalho
Não esquecer que é necessário ter os dados para o login, e que ligação tem
apenas uma hora de duração, que começa a contar a partir do momento
que é criado o convite. O utilitário que permite esta funcionalidade
encontra-se em Internet, outras aplicações e Ligação ao Ecrã Remoto
V02 - 65 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005
BIBLIOGRAFIA
Ajuda do Windows 2003
Site da Microsoft (www.microsoft.com)
Stanek, William R., Microsoft Windows Server 2003 –
Administrator’s Pocket Consultant, Microsoft Press
Pereira, Fernando, Linux - 4ª Edição Actualizada - Curso Completo,
FCA
http://www.caida.org/
V02 - 66 -