Manual de Segurança de redes MI01-1005

Curso: Curso de Segurança de redes

Nome do Manual: MI01-1005 - Manual de Segurança de redes
Versão: 02
Data: 12/05/2009
Elaborado Por: Ricardo Nunes
Verificado Por:

Empresa: NHK - Formação e Novas Tecnologias, Unipessoal, Lda

Morada: Av. Duque D’ Ávila , 72 B
1050 - 083 Lisboa
Telefone: 213 301 888
Fax: 213 301 886
Internet: www.nhk.pt
Email: cursos@nhk.pt

Presidente: Dr. Karen Bolbol

Dir Qualidade: Dra Fátima Gil
Dir Pedagógica Dra Eva Rosa
Dir Tec. Informação Sérgio Gouveia

ATENÇÃO:

Este manual destina-se a apoiar os formados da NHK no curso.

Não pretendendo ser um manual exaustivo do curso em questão, apresenta-

se como uma ferramenta de consulta quer durante a duração do curso, quer
após a conclusão do curso.

O manual foi criado para satisfazer os requisitos das formações da NHK.

Contudo poderá não corresponder na íntegra ao conteúdo programático do
curso, sendo que será possível que alguns temas aqui abordados não façam
parte do conteúdo programático do curso, assim como poderá acontecer que
durante o curso sejam dados alguns temas que não se encontram neste
manual.

A NHK reserva o direito de alterar o conteúdo do curso ou do manual de

forma a satisfazer a sua oferta de cursos.

Copyright - NHK - Formação e Novas Tecnologias, Unipessoal, Lda

Este manual não pode ser reproduzido total ou parcialmente sem a autorização da NHK -
Formação e Novas Tecnologias, Unipessoal, Lda

Índice

V02 -3-
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

INTRODUÇÃO..............................................................................................5
Planeamento da Instalação de um Sistema Operativo...........................5
A Localização da Sala do Servidor........................................................6
SEGURANÇA DOS DADOS.............................................................................7
Os Discos................................................................................................7
Soluções RAID........................................................................................9
Actualização do Sistema.......................................................................10
Antivírus................................................................................................12
Backup / Copias de segurança.............................................................13
SEGURANÇA A NÍVEL DOS UTILIZADORES..................................17
UTILIZADORES E GRUPOS..........................................................................17
PERMISSÕES..............................................................................................20
POLITICAS LOCAIS.....................................................................................22
Politicas de Palavra Passe...................................................................22
Politicas de Bloqueio de Conta............................................................23
Atribuição de direitos de utilizadores / User right assigment..............24
Opções de segurança / security options...............................................25
Politicas de auditoria...........................................................................26
Public Key Policies...............................................................................29
FIREWALL - ISA SERVER 2006............................................................31
CONFIGURAÇÃO DO ISA SERVER.............................................................32
Schedules..............................................................................................33
URL Sets / Domain name Sets.........................................................34
Computers/ Address Ranges.............................................................35
Protocolos.........................................................................................36
Content Types...................................................................................38
Firewall policy......................................................................................39
Criar/Editar Regras...........................................................................39
Monitorização.......................................................................................45
Logs..................................................................................................45
Reports..............................................................................................46
Alerts................................................................................................51
SEGURANÇA NO LINUX........................................................................52
GESTÃO DE UTILIZADORES.......................................................................52
PERMISSÕES..............................................................................................54
FIREWALLS...............................................................................................56
ACESSO REMOTO.......................................................................................63
PARTILHA DO AMBIENTE DE TRABALHO..................................................64
LIGAÇÃO A UM AMBIENTE DE TRABALHO REMOTO................................65
BIBLIOGRAFIA........................................................................................66

V02 -4-
 Manual de Segurança de redes MI01-1005

INTRODUÇÃO
Cada vez mais estamos dependentes dos computadores, que
acumulam um grande conjunto de dados vitais para as empresas.

Desde a documentação da empresa, listas de clientes, de

funcionários, fornecedores, dados de facturação, dados funcionais
da empresa, entre muitas outras categorias de informação, são
guardados nos computadores. Mas estarão seguros?

O que acontece em muitas empresas é que um funcionário instala o

Sistema Operativo de forma básica para que os programas possam
funcionar, e depois mais nada é feito para garantir a segurança dos
dados.

Claro que quando alguma coisa falha é que se lembram que

poderiam ter feito mais, mas aí já é tarde.

O objectivo deste curso é explorar os Sistemas Operativos de

Servidores para ver o que pode ser implementado em termos de
segurança. Neste curso iremos abordar aspectos de segurança quer
em Windows 2000 Server como em Linux.

PLANEAMENTO DA INSTALAÇÃO DE UM
SISTEMA OPERATIVO
Um dos grandes problemas em termos de segurança num servidor
passa pelas instalações padrão, ou quando elas não existem, na
instalação Next-Next (Seguinte-Seguinte). Ou seja escolher as
opções pré-definidas pelo fabricante para a instalação. Em muitos
casos é mais rápido e prático, porém muito inseguro, pois é
exactamente nas configurações padrão que se baseiam muitos
hackers para penetrar nos sistemas. Estas instalações também não
são as ideais pois são instalados muitos serviços desnecessários
para a função do servidor, que abrem portas de entrada para o
sistema.

É por isso que antes de instalarmos um sistema operativo devemos

planear muito bem qual o seu objectivo e quais os
serviços/programas que são necessários para cumprir esse
objectivo.

Nunca se deve cair na tentação de instalar tudo pois pode vir a ser
necessário no futuro. Instala-se apenas o que necessitamos no

V02 -5-
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

momento e no futuro, caso seja necessário mais algum serviço

instala-se quando este for necessário.

Isto requer do Administrador um certo conhecimento do que faz cada

serviço/programa, pelo que normalmente se aconselha a existência
de uma máquina de testes onde se possa efectuar a instalação e
testes do Sistema. Claro que quando existe a urgência de efectuar
uma instalação não se pode perder tempo em testes por isso o
estudo dos componentes, serviços e programas deve ser efectuado
numa base constante pelo Administrador do Sistema, para quando
for instalar o sistema saber o que necessita.

Dando um exemplo com o Windows 2000 Server, provavelmente em

90% das instalações deste sistema operativo o Internet Information
Services (IIS) não é necessário, uma vez que grande parte das
instalações que são efectuadas não se destinam a criar um servidor
para alojamento de páginas de Internet e/ou FTP, porém este
serviço é muitas vezes instalado por omissão, abrindo assim
algumas portas que os Hackers internos ou externos podem explorar
para penetrar no nosso sistema.

Claro que devemos ter em atenção que o IIS pode ser necessário
para outras aplicações. Por exemplo podem existir programas de
Antivírus que utilizem o IIS para configuração de clientes. É por isso
que o planeamento e conhecimento dos programas é muito
importante.

No Knowledge Base da Microsoft existe uma pequena descrição dos

principais processos a correr no Windows 2000, que pode ser lida no
link:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q263201

A LOCALIZAÇÃO DA SALA DO SERVIDOR

Em grande parte das empresas existe a ideia de que o hacker e os
problemas de segurança vêm de fora. Porém este mito cada vez
está mais ultrapassado.

Se a sala dos servidores não for segura e qualquer pessoa puder

entrar nela, todas as medidas de protecção poderão falhar. Nós
podemos criar várias medidas de segurança para impedir o acesso
ao servidor remotamente, mas se tivermos acesso físico ao servidor,
então de nada valem as medidas de segurança.

Imaginemos uma situação em que um servidor tem de estar ligado

24 horas por dia. Se a sala do servidor estiver aberta, um individuo

V02 -6-
 Manual de Segurança de redes MI01-1005

mal intencionado poderá entrar e desliga-lo. E isto é o mínimo que

ele poderá fazer.

Se um utilizador (o Administrador ou Root por exemplo) tiver feito o

Logon e tenha saído, deixando a sua sessão aberta o nosso hacker
pode colocar no servidor um vírus, um cavalo de Tróia, aceder ou
apagar informação sensível da empresa, ou mesmo alterar a palavra
passe do Administrador ou Root. Todas estas acções podem levar
apenas alguns minutos a fazer, mas a resolução dos problemas
poderá levar algumas horas.

Também se deve ter cuidado ao escolher a sala do servidor, para

que esta não seja nem muito húmida nem muito fria para evitar
problema nas máquinas.

SEGURANÇA DOS DADOS

OS DISCOS
O primeiro passo a tomar quando se fala de segurança de dados
deve ser a forma como os dados são guardados. Para um
computador desktop muitas vezes não é importante o tipo de discos
a usar nem configuração de tolerância a falhas, mas no caso dos
servidores o caso muda de figura.

As duas tecnologias de disco existentes são a IDE e a SCSI.

Normalmente os computadores desktop vêm com duas portas de
comunicação IDE.

Os discos IDE são os mais vulgares e por isso mais baratos. Apesar
das melhorias nos discos nos últimos anos, ainda são um pouco
inseguros para serem colocados nos servidores. A opção por discos
IDE, apenas deve ser tomada, em servidores menos importantes

Os discos SCSI são mais seguros e rápidos, pelo que deverão ser a
opção para os servidores mais importantes da empresa.

Podemos ver uma pequena descrição dos vários tipos de SCSI na

tabela seguite:

Tipos de SCSI Descrição

SCSI-1 Transferencias Assincronas e sincronas
até 5 Mb por segundo.
SCSI de 8 bits, conectores de drivers
abertos com transferência assíncrona
para todos os comandos e
transferência de dados. Tecnologia
bipolar para os drivers e receptores.

V02 -7-
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Tipos de SCSI Descrição

Fast SCSI Transferência de dados até 10 Mb por
segundo.

Ultra SCSI Transferência de dados a 20 Mb por

segundo.

SCSI-2 SCSI de 8 bits com comandos

assíncronos e transferência de dados
até 5 Mb por segundo
SCSI Fast-20 (SCSI Parallel SCSI de 8 bits com comandos
assíncronos e transferência de dados
Interface)
até 20 Mb por segundo.

SCSI SPI (SCSI Parallel Interface) SCSI de 8 bits com comandos

SCSI SPI-2 (SCSI Parallel Interface)
Fast Wide SCSI
assíncronos e transferência de dados
até 5 Mb por segundo
SCSI de 8 bits com comandos
assíncronos e transferência de dados
até 5 Mb por segundo
Transferência de dados a 20 Mb por
segundo.

Wide Ultra SCSI Transferência de dados a 40 Mb por

segundo.

Ultra2 SCSI Transferência de dados a 40 Mb por

segundo.

Wide Ultra2 SCSI Transferência de dados a 80 Mb por

segundo.

Ultra3 SCSI Transferência de dados a 160 Mb por

segundo.

SCSI SPI-3 (SCSI Parallel Interface) SCSI de 16 bits com comandos

assíncronos e transferência de dados
até 160 Mb por segundo
Ultra320 Este padrão foi desenvolvido por um
grupo de fornecedores e clientes SCSI,
e não é totalmente reconhecido pela
STA
Transferência de dados até 320 Mb por
segundo

SCSI SPI-4 (SCSI Parallel Interface) SCSI de 16 bits com comandos

Ultra640
SCSI SPI-5 (SCSI Parallel Interface)
assíncronos e transferência de dados
até 320 Mb por segundo
transferência de dados até 640 Mb por
segundo
SCSI de 16 bits com comandos
assíncronos e transferência de dados
até 640 Mb por segundo

Novas implementações de SCSI poderão surgir ou actualizar esta

tabela, porém é nítida a rapidez com que os dispositivos SCSI
trabalham em relação ao IDE.

V02 -8-
 Manual de Segurança de redes MI01-1005

Apenas o administrador do sistema pode indicar qual é a melhor

característica para o servidor porém ter sempre em atenção a
acessibilidade e segurança dos dados no servidor, pelo que é
aconselhável a opção pelos componentes SCSI e acima de tudo,
não efectuar misturas com componentes IDE e SCSI.

A capacidade e velocidade dos discos também são factores a

considerar. Mas como a capacidade dos discos está sempre a
aumentar não deverá ser problemático encontrar discos coma
capacidade necessária para os nossos servidores. Uma base de 40
a 80 Gb poderá ser aconselhável para pequenas e médias
empresas, mas os valores podem subir para Terabytes no caso de
grandes empresas, que trabalhem com um grande volume de dados.

SOLUÇÕES RAID
Uma outra solução que deve ser implementada ao nível do Sistema
Operativo no que concerne aos discos é o R.A.I.D. (Redundant Array
of Inexpensive Disks).

O R.A.I.D. consiste numa série de sistemas para organizar vários

discos físicos numa única entidade que se comporta como uma
única drive virtual, mas que faz com que os vários discos trabalhem
em paralelo, melhorando assim a performance e em termos de
acesso e guarda a informação armazenada em casos de crashes do
sistema.

Existem os seguintes tipos de RAID:

Tipo de RAID Descrição

RAID 0 : Neste modo, todos os discos são organizados
alternadamente para que os blocos de dados a guardar
(Stripping mode)
sejam guardados alternadamente nos discos de forma
a garantir uma maior eficiência. Uma vez que a
probabilidade de encontrar um bloco de dados é
idêntica em qualquer disco, eles são forçados a
trabalhar simultaneamente vai existir aqui alguma
perca de performance. Este tipo de RAID não é
tolerante a falhas.
RAID 1: Neste modo o objectivo é obter o máximo em termos
de segurança de dados. os blocos de informação são
(Mirroring Mode)
duplicados em todos os discos físicos (Cada bloco de
informação está repetido em cada disco) esta
configuração melhora o tempo de leitura dos dados,
mas piora a escrita dos dados. (a leitura pode ser feita
a partir de cada disco pois são idênticos, porém a
escrita tem de se efectuar várias vezes). Igualmente
com este método existe alguma perda na capacidade
dos discos, pois se tivermos três discos, e aplicarmos o
RAID 1 será como se tivéssemos apenas um único
disco.

V02 -9-
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Tipo de RAID Descrição

RAID 4: Neste modo o objectivo é criar um equilíbrio entre as
vantagens do RAID 0 e o RAID 1. a informação é
organizada utilizando os dois processos. Os discos 1 a
N-1 são organizados como RAID 0 e o Disco N guarda
a paridade dos bits correspondentes aos blocos dos
discos 1 a N-1. caso algum dos discos falhe, é possível
recuperar a informação usando a paridade do disco N.
A eficiência durante as operações de leitura é maior
(N-1) mas nas operações de escrita é de metade
(porque a escrita também envolve a escrita da
paridade no disco N) Para recuperar um disco, só
temos de voltar a ler a informação e voltar a escreve-la
no disco novo (a leitura é feita através do disco da
paridade, mas a escrita é no disco novo instalado.)
RAID 5: Este tipo é similar ao RAID 4, mas a informação da
paridade é espalhada pelos vários discos (não existe
um disco de paridade). Isto permite reduzir o trabalho
no disco da paridade, que no RAID 4 tinha de ser
acedido em cada operação de escrita (agora o local
onde se guarda a informação sobre a paridade difere
de Track para Track).

De referir que para os servidores devemos sempre escolher opções

de RAID com tolerância a falhas (o RAID 0 não possui tolerância a
falhas.)

ACTUALIZAÇÃO DO SISTEMA
Uma das grandes falhas de alguns administradores de segurança
são a falta de actualizações dos programas que utilizam, com
especial destaque para os Sistemas Operativos.

Quase todas as empresas de software disponibilizam actualizações

para os seus produtos na Internet, de forma gratuita, ou através do
pagamento de uma taxa de subscrição.

Porém muitas vezes estas actualizações não são feitas.

Um exemplo deste caso foi o vírus SQLSlammer / Sapphire que em

24 de Janeiro de 2003 atacou muitos dos servidores Windows 2000
server. Este vírus foi considerado um mais rápidos na propagação.

Os dois mapas que surgem na pagina seguinte mostram a

propagação deste vírus em 72 horas:

V02 - 10 -
 Manual de Segurança de redes MI01-1005

25/01/2003 05:29

25/01/2003 06:00

Alguns dados estatísticos sobre este ataque:

 74.855 hosts infectados em 31 minutos
 numero de infecções duplicava a cada 8,5 segundos
 55 milhões de tentativas de infecção por segundo, 3 minutos
após o lançamento do vírus
 Coreia do Sul, 24 horas sem telefone.
Fonte: http://www.caida.org/analysis/security/sapphire/
http://www.vianetworks.pt/eventos/security_2003/index.html
(conferencia sobre banda larga e segurança, apresentação do Dr.
Tito de Morais (Marketing Manager)

Uma informação muito importante é que este vírus aproveitava-se de

uma falha de segurança nos sistemas Windows 2000 Server que já
tinha a correcção no site da Microsoft desde Julho de 2002. estes
ataques só foram possíveis pois os administradores de rede não
fizeram as actualizações dos sistemas.

Assim uma as principais opções de segurança é de facto a

actualização dos programas utilizados. No caso dos sistemas
operativos Microsoft isto é feito no site:

http://v4.windowsupdate.microsoft.com/pt/default.asp

(existe um ícone para este efeito no menu iniciar do Windows com o

nome Windows Update.)

V02 - 11 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Aqui devemos procurar por actualizações e depois instalar aquelas

que aparecerem na lista. De referir que este processo poderá levar
algum tempo e que depois da actualização poderá ser necessário
reiniciar o computador, pelo que deveremos fazer estas
actualizações em alturas em que o computador não seja muito
necessário (principalmente no caso dos servidores).

No caso de sistemas operativos Linux, é recomendável a consulta

dos sites das distribuições para ver que updates existem.

ANTIVÍRUS
Muito ligado ao ponto anterior do manual temos os antivírus. Com a
proliferação de vírus (o ano de 2003 foi negro nesta área!) é
importante possuir um bom antivírus actualizado.

Não é objectivo deste manual indicar qual o antivírus que deverá ser
utilizado, aconselhando-se os formadores a analisarem os vários
antivírus que existem no mercado, ver quais as vantagens e
desvantagens dos mesmos.

Devemos dar preferência a antivírus que sejam actualizados com

bastante frequência, uma vez que por dia surgem três ou quatro
vírus ou variantes, pelo que devemos tentar obter as actualizações
das bases de dados de vírus mais recentes.

Normalmente quase todos os antivírus que existem actualmente

possuem este serviço possível de ser feito via Internet, pelo que só
teremos de subscrever o serviço. Depois é só procurar nos menus

V02 - 12 -
 Manual de Segurança de redes MI01-1005

do programa a forma de actualizar o programa e de como se poderá

fazer a actualização. Nunca se deverá passar mais do que 15 dias
sem fazer esta actualização.

Nunca devemos cair no erro de pensar que se temos o nosso

computador actualizado não precisamos de antivírus pois ainda
existem muitos vírus que não se aproveitam de falhas dos
programas, principalmente vírus mais antigos que ainda estão
activos.

Este mapa mostra a actividade dos vírus entre Setembro e Outubro

de 2003. Fonte: www.macafee.com

BACKUP / COPIAS DE SEGURANÇA

Claro está que por melhores politicas de segurança que se definam temos
sempre os imprevistos. Estes imprevistos podem ser ficheiros danificados,
apagados ou alterados por engano ou, na pior das hipóteses, falhas de
discos e/ou computador.

Nestas situações, se tivermos efectuado backups (cópias de segurança) da

informação, tudo se resolve facilmente. Se não tivermos efectuado os
backups…. Teremos de refazer todo o trabalho.

Quem já perdeu a informação sabe o que custa. Nomalmente os problemas

surgem quando menos esperamos, e sempre que a urgência e os prazos de
entrega estão a terminar.

V02 - 13 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Para acedermos ao backup do Windows só temos de ir ao Menu Start

(Iniciar)  All programs (todos os programas)  Acessories
(acessórios)  System Tools (Ferramantas do Sistema)  Backup
(Copia de segurança). Em alternativa podemos ir às propriedades de
uma unidade de disco e escolher Backup no separador tools(Ferramentas).

No primeiro ecrã podemos escolher se queremos executar os assistentes

de Backup ou restore, ou se queremos o assistente para criar uma
disquete para recuperação do sistema.

No nosso caso vamos ao segundo separador (Backup), não seguindo o

assistente.

Aqui só temos de escolher as pastas/ficheiros de que queremos efetuar o

backup (activando a caixa de selecção existente antes da pasta/ficheiro).
Se quiséssemos fazer o backup de pastas existentes noutro computador só
teríamos de partilhar a pasta e procurá-la nos My Network Places (Meus
locais de rede). Em alternativa poderíamos efectuar um mapeamento
dessa pasta.

V02 - 14 -
 Manual de Segurança de redes MI01-1005

Um dos itens de que podemos fazer o backup é o System State (estado do

Sistema). Esta opção representa as definições do servidor, incluindo a
active directory, pelo que é uma das principais opções a incluir nos nossos
backups.

Depois de escolhermos os itens que queremos incluir no nosso backup,

podemos indicar a localização do mesmo, na caixa ao fundo da janela. Aqui
podemos indicar alem do nome do ficheiro o local para onde desejamos
fazer o backup. Este pode ser uma Tape, ou um disco. O programa não
aceita directamente fazer o backup para um CDRW ou uma DVDRW, porém
podemos efectuar para uma pasta no disco e programar uma tarefa para
copiar o backup para o CD/DVD.

quando clicamos em
start Backup (Iniciar
Copia de segurança)
surge-nos uma janela
onde podemos indicar
a descrição do backup.

Também podemos
indicar se queremos
que o backup seja
acrescentado ao
ficheiro (caso o ficheiro já exista) ou se queremos que ele substitua o
ficheiro já existente. A primeira opção permite termos acesso a backups

V02 - 15 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

mais antigos mas irá ocupar muito mais espaço (imaginemos que estanos a
fazer um backup diário de 4 Gb, cada dia o ficheiro irá aumentar cerca de 4
Gb…).

Clicando no botão Advanced (avançado) podemos indicar que queremos

efectuar o backup num local de armazenamento remoto (Tape), se
queremos que a informação seja verificada após o backup e para que seja
feito o backup dos ficheiros protegidos do sistema e do system state
automaticamente.

Podemos ainda escolher o

tipo de backup que
queremos efectuar.

Para percebermos os
tipos de backup, temos de
saber como é que os
programas de backup
tratam os ficheiros
quando fazem o backup.

Todos os ficheiros/pastas
têm um atributo que
indica se já foram
incluídos em algum
backup (Atributo A ou
Arquive/arquivo). Sempre
que o ficheiro é criado ou modificado este atributo é activado. Quando é
efectuado o backup desse ficheiro/pasta o atributo é desactivado.

Tipo de Verifica Desactiva Descrição

Backup Atributo Atributo
Normal X Este tipo de backup efectua a copia de
segurança de todos os ficheiros seleccionados,
e desactiva o atributo.
Copy / Copia Este tipo de backup efectua a copia de
segurança de todos os ficheiros seleccionados,
sem desactivar o atributo.
Incremental X X Este tipo de backup efectua a copia de
segurança de todos os ficheiros seleccionados
que foram criados e/ou modificados desde o
ultimo backup, e desactiva o atributo.
Diferential / X Este tipo de backup efectua a copia de
Diferencial segurança de todos os ficheiros seleccionados
que foram criados e/ou modificados desde o
ultimo backup, sem desactivar o atributo.
Diary / Diario X (mais a Este tipo de backup efectua a copia de
data) segurança de todos os ficheiros seleccionados
que foram criados e/ou modificados no
próprio dia, sem desactiva o atributo.

V02 - 16 -
 Manual de Segurança de redes MI01-1005

É possível ainda fazer o agendamento do backup (Schedule). Esta opção

está na janela anterior.

Com o agendamento do backup podemos indicar a frequência que

queremos que o backup seja feito: Todos os dias, Todas as semanas, Todos
os meses. A dias específicos da semana, do mês, etc.

É igualmente possível definir a hora a que queremos que o backup sja

efectuado. Tendo em conta que um backup poderá demorar algum tempo
a fazer (Dependendo da informação que queremos salvaguardar, e do meio
físico para onde o backup seja feito) e que não podemos fazer backup de
ficheiros abertos, devemos agendar o backup para as horas em que a
empresa esteja fechada (por exemplo a meio da noite).

SEGURANÇA A NÍVEL DOS UTILIZADORES

Um dos aspectos mais importantes da segurança de redes é a educação
dos utilizadores. De facto, muitas das falhas de segurança são devidas aos
utilizadores.

Desde palavras passe pouco seguras, divulgação de palavras passe a

pessoas não autorizadas, acesso indevido a dados confidenciais, todos
estes erros ocorrem com muita frequência nas empresas.

É por isso que o administrador deve tomar uma série de medias de

segurança para evitar problemas nesta área, além de auditar a informação
mais importante da empresa.

UTILIZADORES E GRUPOS
A forma mais correcta de definir a segurança numa rede é através da
criação de contas de utilizadores individuais, atribuir as contas a grupos e
definir as permissões aos grupos.

Desde o Windows 2000 que a criação de utilizadores é feita na consola

Computer Managenet (Gestor do computador), que se pode encontrar nas
Administrative Tools (Ferramentas Administrativas).

Abrindo esta consola, podemos aceder à opção Local Users and Groups
(Utilizadores e Grupos Locais), para visualizar os utilizador ou grupos
existentes no computador

V02 - 17 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Para criar um novo utilizador só temos de clicar com o botão do lado

direito do rato sobre o a opção User (Utilizadores) e escolher a opção New
User (Novo utilizador)

Nesta janela podemos definir o user name (o nome da conta de utilizador),

o nome completo e uma descrição da conta (estes dois campos são
opcionais). Também se poderá definir uma palavra passe para o utilizador
nesta janela.

Depois aparecem quatro opções:

Opção Explicação
User must change password on the next logon Com esta opção activa, quando o utilizador

V02 - 18 -
 Manual de Segurança de redes MI01-1005

(o utilizador tem de mudar a palavra no proximo efectuar o próximo logon terá de mudar a
logon)
User cannot change password
(O utilizador não pode mudar a palavra passe)
Password never expires
(A palavra passe nunca expira)
Account is disabled
(A conta está desactivada)
sua palavra passe.
Activando esta opção estamos a impedir
que o utilizador possa mudar a palavra
passe.
Esta opção impede que a palavra passe
possa expirar (como vamos ver mais à
frente, por omissão as palavras passe
expiram de 42 em 42 dias)
Esta opção serve para desactivar
temporariamente uma conta de utilizador
(por exemplo quando ele vai de férias)

Depois de se terem criado os utilizadores necessários para a nossa rede,

devemos agora definir os seus grupos. Os grupos servem para facilitar a
gestão dos utilizadores, pois assim em vez de se definirem as permissões
utilizador a utilizador poderemos agrupar todos os utilizadores com as
mesmas características num grupo (por exemplo, os funcionários do
departamento de marketing) e definir as permissões a esse grupo.

De referir que os grupos podem conter não só utilizadores como também

outros grupos

Aqui só temos de escolher o grupo, clicando duas vezes sobre ele, na janela
que irá aparecer tem uma lista dos membros do grupo. Só temos de clicar
em Add (Adicionar) para escolher o utilizador pretendido através de outra
janela.

V02 - 19 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

PERMISSÕES
O Windows 2000 pode ser instalado numa partição FAT ou numa partição
NTFS. Actualmente, e por motivos de segurança e de estabilidade
deveremos escolher sempre o NTFS.

As opções de segurança podem ser acedidas nas propriedades dos ficheiros

ou pastas:

No separador Security (segurança) podemos definir quais as permissões

que queremos dar aos utilizadores (por omissão o windows dá controlo
total ao grupo Everyone (Todos) que representa todos os utilizadores do
computador. Para personalizarnos só temos de clicar em Add e escolher
o(s) Utilizador(es)/grupo(s) pretendidos

As cinco permissões apresentadas são um resumo das várias permissões

que o sistema possui. Através do botão Advanced (Avançadas), separador
permissions (permissões) temos acesso a todas as permissões possíveis no
windows: (teremos de clicar ainda no botão View/Edit (Ver/Editar) ou Add
(Adicionar))

V02 - 20 -
 Manual de Segurança de redes MI01-1005

A tabela seguinte permite ver a correspondência entre as permissões

básicas e as avançadas ou especiais:

Read &
Permissões Especiais Full Control Modify Read Write
Execute
Traverse Folder/Execute
X x x
File
List Folder/Read Data x x x X
Read Attributes x x x X
Read Extended
x x x X
Attributes
Create Files/Write Data x x x
Create Folders/Append
x x x
Data
Write Attributes x x x
Write Extended
x x x
Attributes
Delete Subfolders and
x
Files
Delete x x
Read Permissions x x x x x
Change Permissions x
Take Ownership x
Synchronize x x x x x

V02 - 21 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Nunca se deverá dar permissões a mais a um utilizador, nem cair na asneira

de dar permissões a menos, pois isto poderá levar à tentação de se
obter/dar uma palavra passe de um outro utilizador com mais permissões.

Deve ser dada uma atenção especial à opção Deny (negar). Uma coisa é
não permitir (nada colocar na coluna do Allow (permitir)), outra coisa
totalmente diferente é negar o acesso à pasta/ficheiro.

Quando existem conflitos entre as permissões (um utilizador que pertença

a dois grupos, com o direito de read/leitura num dos grupos e write/escrita
noutro grupo, por exemplo) o Windows irá dar sempre a permissão mais
elevada (no exemplo seria a de write/escrita). Porém no caso do utilizador
ter num dos grupos a opção Deny/negar activa, então esta iria sobrepor-se
a qualquer outra permissão (mesmo o full control/controlo total), naquela
categoria.

POLITICAS LOCAIS
Em termos do Windows 2000 (versões Server e Pro) e do Windows XP, o
local onde se podem definir as opções de politicas de Palavras Passe é na
consola Politica de Segurança Local (Local Security Policy). (Está nas
ferramentas Administrativas/Administrative Tools)

Aqui temos três opções referentes às palavras passe:

POLITICAS DE PALAVRA PASSE

Nome Descrição
Aplicar Histórico de Esta opção permite que o S.O. memorize as
Palavras Passe ultimas x palavras passe do utilizador para evitar
que ele esteja sempre a usar a mesma, (quando
tem de mudar de palavra passe)
Armazena as palavras Esta opção deverá estar desactivada pois com

V02 - 22 -
 Manual de Segurança de redes MI01-1005

passe usando ela activa, poderá permitir que com software

encriptação reversível próprio se possa aceder à lista das palavras
passe.
Tamanho Máximo da Define qual o tamanho máximo da palavra Passe
Palavra Passe (nº de caracteres)
Tamanho Mínimo da Define qual o tamanho mínimo da palavra passe
Palavra Passe ( nº de caracteres – deverá ser pelo menos 6 em
termos de questões de segurança)
A Palavra Passe deve Com esta opção activada o utilizador terá de
satisfazer os requisitos introduzir caracteres especiais para a palavra
de segurança passe (Números, símbolos, etc)
Tempo de vida máximo Qual o tempo de vida da palavra passe antes de
da palavra passe ela expirar. (normalmente 42 dias)
Tempo de vida mínimo Tempo de vida mínimo da palavra passe, antes
da palavra passe do qual o utilizador não poderá alterar a palavra
passe.

POLITICAS DE BLOQUEIO DE CONTA

Neste item podemos definir quantas vezes os utilizadores poderão falhar a

palavra passe antes que esta fique bloqueada. Este tipo de soluções são
particularmente úteis quando temos situações de tentativas de invasão de
força bruta (tentativas de descobrir a palavra passe usando todas as
combinações de caracteres possíveis) ou de dicionário (tentativas de
descobrir a palavra passe usando um conjunto de palavras conhecidas).

Assim podemos definir o Limite de bloqueio de conta (normalmente três ou

cinco tentativas). Desta forma sempre que o utilizador (ou alguém por ele)
falhar esse número de vezes, a conta ficará bloqueada.

O tempo que a conta fica bloqueada dependerá do que for estipulado na

opção Duração do bloqueio de conta. Por omissão quando se activa o
bloqueio de conta esta opção fica definida para 15 minutos, podendo ser

V02 - 23 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

redefinida à nossa vontade. Porém o bloqueio nunca deverá ser superior a

uma hora.

Ainda temos aqui uma outra opção que é o Reiniciar o contador de

bloqueios de conta que serve para quando o utilizador acertar na palavra
passe, o contador fique a zero.

De referir ainda que caso a conta fique bloqueada o Administrador (ou um

utilizador com direitos de administração) pode desbloquear a conta,
acedendo às propriedades do utilizador e desactivando a opção Conta
bloqueada.

ATRIBUIÇÃO DE DIREITOS DE UTILIZADORES /

USER RIGHT ASSIGMENT
Nesta opção das Politicas locais, podemos definir os direitos dos
utilizadores. Aqui é possível indicar quais os que podem efectuar o login
local ou através da rede (necessário para aceder a uma partilha na rede).

Também é possível indicar os utilizadores que podem alterar a hora do

sistema, acrescentar computadores ao domínio, efectuar backups e
restaurar um backup, tomar posse de um ficheiro, desligar o computador,
entre outras opções.

O facto de um utilizador ter a permissão para efectuar uma determinada

tarefa, não implica que tenha o direito. Um exemplo prático deste caso é
uma pasta partilhada.

Podemos dar as permissões para que um determinado utilizador aceda a

uma pasta, mas se ele não poder fazer o login de rede, esse utilizador não
poderá aceder à pasta.

V02 - 24 -
 Manual de Segurança de redes MI01-1005

Em termos de configurações, só temos de clicar duas vezes na opção

pretendida para abrir a seguinte janela:

Aqui só temos de indicar se o utilizador tem ou não a permissão indicada.

Caso o utilizador não esteja na lista, clicamos em Adicionar (Add) e
escolhemo-lo na lista.

OPÇÕES DE SEGURANÇA / SECURITY OPTIONS

Aqui podemos activar / desactivar algumas opções de segurança do
Windows.

V02 - 25 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

É possível indicar que não queremos que seja premido o CRTL+ALT-DEL

para o logon, que não seja apresentado o nome do ultimo utilizador na
janela do logon, restringir o acesso a cd’s e a disquetes apenas para
utilizadores locais, alterar o nome da conta de utilizador de Administrador
(administrator) e Convidado (guest).

É igualmente possível indicar se queremos que o computador seja

encerrado sempre que não seja possível guardar os logs de auditorias de
segurança, assim como definir uma mensagem para surgir a todos os
utilizadores no momento do logon.

POLITICAS DE AUDITORIA
Um dos grandes erros dos administradores de sistema é muitas vezes
esperarem que algo aconteça de errado para depois tentarem resolver o
problema. Aí muitas vezes é tarde demais.

O Windows possui formas de controlar o que os utilizadores estão a fazer,

não só pelas permissões mas também fazendo registos das suas
actividades. Estes registos são definidos pelas políticas de auditoria.

Uma pequena chamada de atenção. Como as auditorias vão gastar

recursos ao servidor é aconselhável não auditar um disco inteiro, nem
todas as actividades dos utilizadores (ou todos os utilizadores) mas apenas
as mais sensíveis, como pastas que tenham ficheiros mais importantes, as
actividades de algum utilizador, etc.

V02 - 26 -
 Manual de Segurança de redes MI01-1005

Desta forma podemos definir algumas politicas de auditoria no

computador. Em termos de auditorias o Windows possui 9 tipos de
auditoria. Destas, podemos estacar as seguintes:

Nome
Audit account logon events
(auditar eventos de logon de
contas)
Audit logon events (auditar
eventos de logon)
Audit object Access (Auditar
acesso a objectos)
Audit account Management
(auditar gestão de contas)
Audit Policy changes (auditor
alterações de politicas)
Descrição
Estas duas politicas de auditoria permitem analisar os eventos
de logon, ou seja, quem acedeu ou tentou aceder ao
computador.
Com esta politica podemos auditar o acesso aos objectos
(Pastas ou ficheiros)
Permite auditar a gestão de contas (quem criou ou modificou
contas de utilizador)
Permite auditar as alterações das politicas

As outras politicas podem ser usadas para analisar o funcionamento do

computador. Por vezes são úteis para quem faz programação (Audit
process tracking por exemplo).

Qualquer politica pode-se definir que queremos auditar o sucesso e a falha

(se o utilizador conseguiu ou não fazer a operação). É tão útil fazer a
auditoria no sucesso das operações quer a falha. Quando o utilizador não
conseguiu fazer a operação poderá significar que ele tentou fazer mas não
conseguiu, talvez por não ter permissão. Neste caso deveremos analisar
porque é que ele tentou.

Quando queremos auditar o acesso a objectos, devemos activar a politica

correspondente. Depois temos de ir às propriedades do objecto (pasta ou
ficheiro), no separador Security clicamos no botão Advanced (Avançado) e
escolhemos o separador auditing. Neste separador temos o botão
Add/Adicionar. Ao clicarmos neste botão ser-nos-á pedido para
escolhermos o utilizador ou o grupo que queremos auditar.
V02 - 27 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Agora só temos de indicar qual os itens que queremos auditar. Na lista

temos várias opções como o Delete (apagar), Write Data (escrever
informação – alterar os ficheiros) entre outras opções. Também é possível
auditar em termos de sucesso e em termos de falha.

Apesar da grande utilidade destas auditorias, devemos evitar fazer

auditorias muito extensas (a pastas com muitos ficheiros ou ao grupo
everyone/todos) durante muito tempo pois estas auditorias vão criar
registos que poderão ocupar muito espaço em disco, além de provocarem
alguma perda de performance no servidor.

Deve-se porém activar a auditoria em pasta/ficheiros mais sensíveis para a

empresa e/ou quando suspeitamos de que algum utilizador esteja a fazer
alguma coisa de errado no sistema.

Os resultados das auditorias vão aparecer no Event Viewer (Visualizador de

Eventos) no item Secutiry (Segurança).

V02 - 28 -
 Manual de Segurança de redes MI01-1005

Neste caso podemos ver os registos das auditorias que foram activadas
(são todas referentes a logons efectuadas, ou pelo System ou pelo
Administrator. Os do System referem-se a logons que o próprio Windows
poderá fazer a nível interno – Serviços que estão a ser executados, por
exemplo).

Nota:

No que diz respeito às politicas de segurança o Windows pode apresentar

três consolas para definir. Se estivermos a trabalhar em workgroup (grupo
de trabalho) apenas teremos a consola Local security policies. Mas se
estivermos a trabalhar em domínio teremos mais duas consolas: Domain
controler Security policies e Domain Security policies.

A Domain controler security policies serve para definirmos as politicas do

servidor onde está instalado o domínio, o Domain security policies serve
para definir as politicas de segurança para os computadores pertencentes
ao domínio. Caso existam definições nesta ultima consola, essas definições
sobrepõem-se às Local security policies e Domain controler security
policies.

PUBLIC KEY POLICIES

Uma chamada de atenção para as politicas de chave publica. O Windows
tem uma opção que permite encriptar os ficheiros para que apenas o seu

V02 - 29 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

proprietário (owner) possa aceder a ele. Esta opção apenas existe em

partições NTFS.

A chave de encriptação é criada no momento da instalação do Windows de

uma forma automática e muda de instalação para instalação, pelo que os
ficheiros que forem encriptados não podem ser acedidos após a re-
instalação do Windows, a não ser que se tenha exportado a chave de
encriptação.

Apenas o administrador do sistema tem a possibilidade de o fazer, pelo

que se estivermos a pensar usar a encriptação dos dados devemos
exportar a chave publica do computador e guarda-la em local seguro. (esta
opção também existe em Windows 2000 professional e em Windows XP).

A exportação da chave publica é feita nesta janela. Se formos ao item

Encripting File System (Local/Domain Security Setting  Public Key
Policies), clicamos com o botão do lado direito do rato sobre o item
Administrator (administrador) e escolhemos All tasks (Todas as tarefas)
export (Exportar).

Agora só temos de seguir o assistente que vai surgir. Primeiro teremos de

indicar se queremos exportar a chave publica, ou apenas os certificados
existentes na maquina. Escolhendo a primeira opção, indicamos se
queremos guardá-la com forte protecção, se queremos incluir também os
certificados e se queremos que a chave seja apagada no final do processo
(é aconselhável não apagar).

V02 - 30 -
 Manual de Segurança de redes MI01-1005

Depois é só escolher a palavra passe e a localização do ficheiro. Quando o

processo estiver concluído devemos guardar este ficheiro em local seguro
(por exemplo num Cd/disquete ou no backup).

Quando re-instalarmos o Windows, só teremos de dar dois cliques no

ficheiro e seguir o assistente (os passos são mais ou menos os mesmos).

FIREWALL - ISA SERVER 2006

A Microsoft possui um software de firewall muito completo que é o ISA
server. Esta firewall é muito virada para utilizadores empresariais não
sendo talvez a melhor opção para utilizadores domésticos.

Para estes últimos recomenda-se o mesmo que foi referido no caso dos
antivírus: analisem o mercado para ver se encontram uma firewall que
melhor se ajuste às suas necessidades. Existem algumas firewalls bastante
boas gratuitas na Internet, assim como outras não gratuitas.

Mas regressando ao Internet Security and Acceleration Server (ISA server),

este produto possui duas funções, conforme podemos ver no seu nome:
firewall e proxy de Internet.

Aqui daremos mais destaque à primeira função, firewall.

Antes de mais o que é uma firewall? Uma Firewall é um programa que filtra

Firewall

tudo o que está a circular na nossa rede, impedindo a entrada a pacotes

não autorizados. Pode ainda controlar os acessos dos nossos utilizadores
para fora da nossa rede.

V02 - 31 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

No exemplo que podemos ver acima o computador do meio da imagem faz

de firewall entre a rede interna de uma empresa e a Internet. Todo o
trafico TCP/IP é efectuado através desta maquina, que terá de filtrar o
conteúdo do que queremos que passe para a nossa rede interna ou não.

Em termos mais técnicos uma firewall é um conjunto de programas

localizados num servidor gateway, que protege os recursos da rede privada
dos utilizadores de outras redes (este termo também se refere às politicas
de segurança usadas nesses programas). Por exemplo: uma empresa que
possui uma intranet e cujos utilizadores possam ter de usar a Internet,
pode ter necessidade de uma firewall que impeça os utilizadores externos
de aceder à sua intranet.

Basicamente uma firewall,

trabalhando muito próxima a
um router, examina cada
pacote que circula na rede
para determinar se ele pode
seguir até ao seu destino. A
Firewall também deve
trabalhar ligada a um servidor
de proxy que faz os pedidos à
Internet em nome dos
utilizadores. Normalmente
está instalada num
computador entre a rede
interna e a rede externa para que nenhum pacote chegue a nenhum
computador da nossa rede sem antes passar pela firewall.

No caso do ISA Server como já foi referido ele trabalha como firewall e
como proxys.

CONFIGURAÇÃO DO ISA SERVER

Após a instalação do Isa temos acesso à consola Isa Management (Em
Iniciar  Programas  Microsoft ISA Server).

V02 - 32 -
 Manual de Segurança de redes MI01-1005

Nesta janela podemos ver várias opções, do lado direito temos o separador
Toolbox, e é o local onde podemos configurar ou definir os elementos que
vão ser controlados pelo ISA (Computadores, Destinos, Protocolos,
etc…),ou as politicas de acesso dos elementos criados (se podem ou não
aceder à Internet, se pode ou não receber uma determinada informação,
etc…).

SCHEDULES
Esta é a opção mais simples de todas. Apenas tem de clicar com o botão do
lado direito do rato e escolher Novo (New)  Schedule. Depois será só
indicar o nome desta Schedule, e os horários que ela vai controlar.

As schedules servem para definirmos regras que estejam activas apenas a

determinadas horas. Um bom exemplo, será no horário de expediente da
empresa .

V02 - 33 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

URL Sets / Domain name Sets

Nesta opção podemos definir quais os destinos que
queremos bloquear/permitir na nossa rede.

Como exemplo vamos demonstrar como criar um

destination set para o Site do jornal A Bola:

Primeiro clicamos com o botão do lado direito do rato e

escolhemos New  URL sets. Depois indicamos o nome do
URL Set, e se quisermos podemos igualmente inserir uma
descrição. Seguidamente clicamos em Add…

Agora só temos de indicar o destino. Aqui podemos

escrever o nome todo do site (www.abola.pt) ou colocar
asteriscos (*.abola.*) desta forma todos os sites que
contenham a “.abola.” no seu nome ficam sujeitos ao que a
regra impuser.

V02 - 34 -
 Manual de Segurança de redes MI01-1005

Depois é só confirmar as nossas escolhas premindo OK e OK nas janelas

respectivas.

Computers/ Address Ranges

Servem para controlarmos os computadores, ou gamas de endereços da
nossa rede, permitindo/bloqueando os acessos oriundos locais.

Uma pequena chamada de atenção para

redes que utilizem o DHCP para
configuração das informações de rede,
nomeadamente os endereços IP.

Como estas opções funcionam com base

nos endereços IP das máquinas, não será
possível associar correctamente os
endereços, uma vez que os IPs das
maquinas poderão mudar, para esta
situação iremos ver mais à frente que é
possível controlar pelos nomes dos
utilizadores.

Para criar um novo computador, clicamos

com o botão do lado direito do rato, novo
 computer.

Depois de indicarmos o nome e a descrição

do computador, clicamos em Add… para
inserirmos o endereço IP do computador

V02 - 35 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Para criar uma gama de endereços, clicamos com o botão do lado direito
do rato em address range, novo  address
range.

Depois de indicarmos o nome e a descrição,

clicamos em Add… para inserirmos o conunto de
endereços.

Depois só temos de confirmar as nossas opções

premindo o OK nas duas janelas.

Este passo deve ser repetido até termos todos os

address ranges definidos. (por exemplo, por sala
ou por departamento, dependendo da empresa
e do objectivo.

Protocolos
Serve para definir quais os protocolos que vao ser
utilizados pela empresa. Os protocolos principais já estão
definidos, mas pode ter algum software específico que
necessite de usar um protocolo especifico, sendo que é
por aqui que poderemos definir as características desse
protocolo.

Como será do conhecimento os protocolos da camada de

aplicação do TCP/IP trabalham através de portas, sendo

V02 - 36 -
 Manual de Segurança de redes MI01-1005

que essas portas podem ser de TCP ou de UDP. (mais esclarecimentos

sobre esta área podem ser obtidos através do curso de Protocolos de
Rede). O que vamos definir aqui é qual a porta que esse protocolo usa,
assim como se é de TCP ou de UDP.

Assim, para criar uma nova Protocol Definition só

temos de clicar com o botão do lado direito do rato e
escolher Novo  Protocol

Depois é só indicar qual a porta que o protocolo vai usar, se é relativo ao

protocolo TCP ou UDP. Teremos ainda de referir se é a direcção é de
outbound (saída) ou de inbound (entrada).

Depois de clicar em OK, é

possível indicar ligações
secundárias (o mesmo protocolo
pode trabalhar com outras
portas, ou usar a mesma porta
para inbound e outbound). Se
for este o caso escolhemos Yes
nesta janela, para podermos
inserir uma nova (New) ligação.
Caso contrario é só cclicarm em
avançar (Next) e concluir (finish).

Seguidamente criar-se-iam todas as definições de protocolos que fossem

necessárias.

V02 - 37 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Content Types
Os content types servem para se definirem os conteúdos que os
utilizadores podem descarregar da Internet. Com os content Types pode-se
depois indicar se permiteou não que os utilizadores possam visualizar
imagens, vídeos, MP3 e outros tipos de conteúdos.

O ISA server já possui os principais grupos criados:

Appication Onde estão os tipos de ficheiros

executáveis: .exe, .com, .bat, .cmd, etc.
Application Data Alguns ficheiros de apoio a aplicações como
Files o .hlp, .wmf, etc.
Áudio Nesta categoria podemos encontrar os tipos de
ficheiros de áudio: .wav, .mid, etc
Compressed Files Ficheiros compactados como os .zip, .tar, entre
outros
Documents Ficheiros de documentos, .pdf, .ps, .xml, etc
HTML Documents Ficheiros de HTML
Images Ficheiros de imagens como o .jpg, .gif, . png etc.
Macro documents Documentos que possam conter macros como
os .doc, .xls etc.
Text Ficheiros de texto como os .txt, .bas, etc
Vídeo Ficheiros de vídeo como os .avi, .mpeg, .mov entre
outros.
VRML Ficheiros VRML

Estas são as categorias padrão, onde já podemos encontrar muitos tipos de

ficheiros, como por exemplo os MP3 incluidos nos ficheiros de áudio.

Aqui temos duas opções ou

acrescentamos novos tipos de
dados nos grupos já
existentes, dando dois cliques
no grupo pretendido, escrever
o tipo de ficheiro que se quer

V02 - 38 -
 Manual de Segurança de redes MI01-1005

acrescentar na caixa de listagem avaliable types (neste caso temos mesmo

de escrever pois na lista apenas aparecem os já existentes). Também
temos de escrever o “.” (ponto) antes do tipo de ficheiro. Depois é só clicar
em add para acrescentar o tipo de ficheiro.

A segunda opção é criar um novo

grupo com os tipos de ficheiros
que queremos controlar. Muita
vezes queremos permitir que
alguns tipos de imagens sejam
vistos, mas não todos, ou
queremos apenas bloquear alguns
tipos de ficheiros de certas
categorias. Assim o melhor é
mesmo criar um grupo novo e
nesse novo grupo inserir os tipos
de ficheiros.
Assim só temos de clicar com o
botão do lado direito do rato e
escolher novo  Content goup.

Depois é só indicar o nome do grupo, uma descrição e indicar quais os tipo

de ficheiros pertencentes a este grupo. Por fim clicamos em OK para inserir
o grupo.

FIREWALL POLICY
Agora que temos as configurações criadas, temos de definir as Regras. É
com estas que podemos de facto restringir os acessos à Internet e a outros
pontos de interesse relacionados com as politicas de funcionamento da
empresa.

Por omissão quando se instala o ISA server, ele configurado para negar
todos os acessos, isto quer dizer que ele não aceita os pedidos dos
computadores, bloqueando tudo. Esta regra tem o nome de Default Rule, e
entra em funcionamento, quando não existem regras criadas, ou quando
todas as outras falham. Esta regra não pode ser apagada, ou editada.

Criar/Editar Regras
Permitem indicar como os utilizadores podem aceder a determinados
sites/conteúdos.

Neste caso poderão ser usados os elementos: Schedules, Adress ranges,

Computers e Content Types.

V02 - 39 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Para criar uma regra, basta clicar com o botão do lado direito do rato em
cima de Firewall policy – New – Access Rule:

 Escolher um nome.

 Seleccionar Allow ou deny, dependendo do que a regra vai ditar.

 Se for deny, pode inclusive redirecionar o acesso por exemplo, para

uma pagina interna com as normas da empresa.

V02 - 40 -
 Manual de Segurança de redes MI01-1005

Basta editar a regra e seleccionar o separador Action, colocando

um visto em redirect HTTP…, e inserir o URL.
Se preferir, também pode configurar aqui o Schedule, ou o Content
Types, ou alterar qualquer outro parâmetro configurado.

 Escolher se a regra se aplica a todos os protocolos (All outbound

Traffic), apenas aos seleccionados (Selected Protocols), ou a todos
excepto os seleccionados (all except selected).

V02 - 41 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Por exemplo, se o objectivo for bloquear a abertura de paginas

web, basta clicar em selected protocols, e escolher os protocolos
HTTP e HTTPS (claro que a regra teria de estar a negar).

 No Access Rule Sources, indicar a origem da regra (por exemplo, a

rede interna, ou um determinado address range, ou ate mesmo um
computador).

 No Access Rule Destination, indicar o destino da regra (por exemplo

a rede externa).

 No User sets, escolher a que utilizadores a regar se aplica (pode ser

para todos, ou para algum em especifico).

V02 - 42 -
 Manual de Segurança de redes MI01-1005

Se tiver de acrescentar um utilizador (ou vários) do Windows, pode

clicar em ADD – NEW .
Deve de seguida dar um nome.

Depois, terá especificar que é/são utilizadores do Windows.

V02 - 43 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

De seguida, terá de especificar o utilizador(es) e clicar em OK.

 No final será apresentado um breve resumo das opções escolhidas

e só falta clicar em finish.
 A regra depois de criada, tem de ser aplicada para ser executada.

V02 - 44 -
 Manual de Segurança de redes MI01-1005

MONITORIZAÇÃO
O ISA Server permite a criação de reports com os acessos à Internet. Estes
reports são baseados nos Logs registos que ele cria. Como pagina inicial, é
mostrado o dashboard, que tem as informações gerais do que se esta a
passar.

Logs
Os logs estão definidos no item Monitoring configuration, Logs.

Aqui, dando dois cliques é possível efectuar a configuração dos logs.

V02 - 45 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Nesta configuração podemos indicar qual o formato preteendido

(normalmente usa-se o formato da W3C, por ser mais padrão), a
periodicidade desejada para o log (diária). É igualmente possível indicar
que queremos que o log seja guardado numa base de dados.

No separador Fields podemos indicar quais os campos (informações) que

queremos que o log contenha.

Reports
Os reports vão buscar dados aos logs para nos apresentarem relatórios de
fácil consulta e analise.

Nesta opção poderemos agendar um report para que este seja criado com
alguma periodicidade de uma forma automática.

Para criarmos um report, vamos à opção Create and configure Report Jobs.

Na primeira janela indicamos o nome do report .

V02 - 46 -
 Manual de Segurança de redes MI01-1005

De seguida será pedido o tipo de relatorio a ser discriminado (se é

resumido, se mostra a utilização da web, das aplicações, ou do trafego,
bem como a propria segurança).

No separador seguinte podemos indicar a periodicidade do report

Podemos ter vários reports a serem efectuados com periodicidades
diferentes, por exemplo, um mensal para termos um resumo mensal da
utilização da Internet, e depois os diários, para obtermos informação mais
específica dos dados em analise.

V02 - 47 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

De seguida, podemos escolher se queremos que o relatorio seja criado

numa directoria a escolha

V02 - 48 -
 Manual de Segurança de redes MI01-1005

Ou entao, que seja enviado por email. Para este caso devem ser
configurados todos os parametros da conta de email, inclusivé o nome do
servidor de envio (SMTP).

Depois de criado, o relatorio pode ser editado, e pode ser configurado por
exemplo o horario abrangido pelo mesmo.

V02 - 49 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

No separador Schedule podemos indicar a que horas queremos que o

report seja executado. É possível indicar que ele seja executado
imediatamente, ou num determinado dia a determinadas horas. Depois
poderemos indicar se queremos que ele seja feito só naquele dia, todos os
dias ou apenas em determinados dias. Existe ainda a opção de fazer o
report apenas uma vez por mês, indicando o dia do mês pretendido.

Para a consulta dos reports temos de aceder à opção Monitoring, Reports.

Aí temos uma lista dos reports criados. Ao expandirmos esta opção
poderemos ver que temos várias sub opções. Dentro dessas sub opções só
temos de escolher o dia desejado e dar dois cliques. Os reports são-nos
apresentados graficamente.

V02 - 50 -
 Manual de Segurança de redes MI01-1005

Alerts
Os alertas servem como o nome indica para que o ISA Server nos nossa
informar de que alguma coisa possa estar a ocorrer mal.

O ISA por omissão já tem todos os alertas definidos, única coisa que
deveremos fazer é activar/desactivar os alertas pretendidos.
Entre os vários alertas disponíveis temos o Intrusion Detected (intrusos
detectados) que nos informa de que poderão ter tentado invadir a nossa
rede.

No separador Events
podemos definir melhor o
que poderá despoletar o
Alerta, Condições adicionais
(port scan, por exemplo),
quantas ocorrências antes
do alerta ser activado, ou
quantas ocorrências por
segundo.

Também se poderá indicar

se queremos que as acções
a tomar sejam feitas de
imediato ou não.

No que diz respeito às acções estas

poderão ser o envio de um email (aqui
damos as informações do endereço de
email pretendido) ou executar um
determinado programa.
É igualmente possível parar ou iniciar
certos serviços que estejam a correr ou
não no servidor.

Estes alertas são ferramentas bastante

poderosas pelo que é desaconselhado a
sua desactivação.

Por omissão todos os alertas ficam

registados no event viewer do windows.

V02 - 51 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

SEGURANÇA NO LINUX
O sistema operativo Linux é uma forte alternativa ao Windows. Apesar de
não ser tão amigável como o Sistema Operativo da Microsoft, esta a
começar a aparecer em muitas empresas, principalmente a nível de
servidores.

As suas versões mais recentes são bastante fáceis de utilizar e já têm um

“look” muito similar ao Windows. Porém alguns elementos em termos de
configurações continuam um pouco difíceis de efectuar.

Este sistema começou a ser desenvolvido por um estudante finlandês,

Linus Torvalds, que pretendia criar um sistema para poder utilizar em
alternativa ao que era usado na sua faculdade (uma versão de unix, que
seria muito cara para um estudante). Pouco a pouco, com o apoio de vários
programadores à volta do mundo criaram as primeiras versões do Linux.

Hoje existem várias empresas que têm distribuições linux, que são
compilações dos principais programas Linux, reunidos à volta do Kernel
(núcleo) do Linux. Estas distribuições apesar de poderem ser compradas (aí
teremos acesso a manuais impressos, suporte técnico, entre outras coisas)
estão igualmente disponíveis para download nos sites dessas empresas.
O Linux é hoje um sistema operativo completo, cheio de ferramentas
poderosas quer para o trabalho individual quer para o trabalho empresarial
(não só para estações de trabalho, como também para servidores). De
facto são cada vez mais as empresas que estão a optar por este sistema
operativo.

GESTÃO DE UTILIZADORES
Tal como o Windows, o Linux também permite definir os seus utilizadores.
Para tal podemos usar ferramentas gráficas ou a linha de comandos.

Em termos da linha de comandos, podemos aceder a uma consola de linha

de comandos (caso o linux esteja configurado para iniciar em modo gráfico)
utilizando a combinação de teclas CTRL+ALT+F1 (as tecas de função até ao
F6 permitem abrir uma consola de linha de comando quando usadas com o
CTRL+ALT. O F7 abre a consola gráfica quando está definida).

Depois de efectuarmos o login com o user name de root (administrador do

linux) e a palavra passe, usamos o comando useradd para criar utilizadores.

A sintaxe do comando user add é a seguinte:

useradd -u <numero> -g <grupo> -d /home/<utilizador > -m <utilizador>

V02 - 52 -
 Manual de Segurança de redes MI01-1005

numero - Numero a atribuir ao utilizador ( deve ser superior a 500 por

razões de segurança)
directório - Directório de origem do utilizador
grupo - Grupo a que vai pertencer esse utilizador
utilizador - Nome do utilizador que vai adicionar, esse utilizador vai ficar
com a seu directório principal em /home/<utilizador>.

Exemplo de um novo utilizador adicionado ao grupo users com o numero

501, nome do utilizador é nhkuser:
useradd -u 501 -g users -d /home/nhkuser -m nhkuser

O comando useradd também possui a opção –p <password> para definir a

palavra passe logo na criação do utilizador, porém não é recomendada a
sua utilização, uma vez que o Linux memoriza os 1000 últimos comandos
efectuados

Assim, depois de adicionar o novo utilizador temos de lhe atribuir uma

palavra passe usando o seguinte comando:
passwd <nome do utilizador>

- NOTA: Depois ser-lhe-á pedido para introduzir a senha 2 vezes e esse

utilizador fica com essa senha, no entanto esse utilizador pode mudar a seu
gosto mais tarde utilizando o mesmo comando.

Paara remover utilizadores usamos o comando userdel:

userdel –r <utilizador>

Com este comando podemos usar a opção –r. esta opção vai também
remover a pasta do utilizador, com todos os ficheiros e configurações que
ele possa ter criado. A utilização desta opção é facultativa.

Exemplo: remover o utilizador novato:

userdel –r nhkuser

Também podemos criar grupos em modo texto com o comando groupadd,

que possui a seguinte sintaxe:

groupadd -g <numero do grupo> -o <nome do grupo>

A eliminação de grupos é feita com o comando groupdel:

groupdel <nome do grupo>

A nível gráfico dependendo da distribuição usada, temos várias

ferramentas para a gestão dos utilizadores, normalmente na categoria do
sistema no menu dos programas.

V02 - 53 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

PERMISSÕES
Quando listamos o conteúdo de uma directoria com o comando ls –l, é-nos
apresentada uma lista de ficheiros e/ou directorias. Cada um desses
elementos terá uma linha com a seguinte apresentação:

-rw-r-xr-- 1 root root 29542 Jun 29 13:11 ficheiro

A primeira parte desta linha permite visualizar as permissões do

ficheiro/directoria. Os dois roots que aparecem indicam o proprietário e o
grupo a que o ficheiro/directoria pertence. Depois com a indicação do
tamanho, a data e hora de criação e o nome.

Olhando com atenção para a parte das permissões, elas estão estruturadas
da seguinte forma:

- r w - r w - r - -
Proprietário Grupo outros

O primeiro carácter permite visualizar o tipo de ficheiro (se tiver um d

significa que é uma directoria, se tiver um l significa que é um link, se não
tiver nada é um ficheiro).

Os restantes caracteres são divididos em grupos de três, sendo que o

primeiro grupo representa as permissões do proprietário (owner) do
ficheiro/directoria; o segundo representa as permissões do grupo e o
terceiro as permissões dos restantes utilizadores.

As permissões poderão ser r (Read/leitura), w (Write/escrita) e x

(eXecute/executar).

A seguinte tabela vai auxiliar as permissões. Onde estiver um 1 significa

que essa permissão vai estar activa, onde estiver um 0 a permissão não vai
estar activa:

R W X
0 0 0 0
1 0 0 1
2 0 1 0
3 0 1 1
4 1 0 0
5 1 0 1
6 1 1 0
7 1 1 1

V02 - 54 -
 Manual de Segurança de redes MI01-1005

Por exemplo uma permissão de 4 (1 0 0) significa que apenas queremos dar

o acesso de read ao ficheiro/pasta. Uma permissão de 6 (1 1 0) dará uma
permissão de read e write.

Se dermos uma permissão de 740, significa que estamos a dar ao

proprietário 7 (1 1 1) Read, Write e Execute; ao grupo 4 (1 0 0) só read; aos
outros 0 (0 0 0) nenhum acesso.

O comando para alterar as permissões é o chmod, que possui a seguinte

sintaxe:

chmod <permissões> <ficheiro/directoria>

por exemplo:
chmod 740 ficheiro

Uma outra opção para o chmod é a seguinte:

chmod [opção1][opção2] <ficheiro>

- Opção1, serve para indicar, para quem é que vai mudar os atributos do
ficheiro:
u - Para mudar os atributos do ficheiro para o dono do
ficheiro.
g - Para mudar os atributos ao grupo a que o ficheiro
pertence.
o - Para mudar os atributos para todos os outro utilizadores.

- Opção 2, indica quais os atributos a ser mudados:

- NOTA: Antes de introduzir a opção2, por primeiro o sinal “+” ou “–“ para
adicionar ao remover a respectiva opção.

r - Para modificar a opção de leitura do ficheiro.

w - Para modificar a opção de escrita do ficheiro.
x - Para modificar a opção de executar o ficheiro.

- Para se perceber melhor o funcionamento é dado este exemplo, em que

se vai tirar os atributos de leitura e escrita para o dono do ficheiro e vai-se
adicionar o atributo de executar ao dono do ficheiro:

chmod u-rw+x ficheiro

Deste processo o comando fica um pouco mais complexo pois temos de

indicar as permissões para o proprietário, grupo e outros separadamente.

V02 - 55 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Existe ainda a opção de mudar o proprietário do ficheiro/directoria com o

comando chown:

chown <novo dono> <ficheiro>

A mudança do grupo do ficheiro/directoria é feita com o comando chgrp:

chgrp <novo grupo> <ficheiro>

FIREWALLS
Sempre que se fala em redes, Internet, á que referir a sua segurança, pois
hoje em dia e cada vez mais temos de apertar a segurança nas nossas
redes, quer em casa ou no trabalho. Isto porque nem todas as pessoas
acedem aos serviços da Internet com as melhores das intenções. Os
Hackers, são pessoas que entram nos computadores e vasculham os
documentos privados, se ficarem por aqui tudo bem, pois não afecta o
sistema, agora quando falamos de crackers a conversa já é outra, os
objectivos destes é destruir como um vírus, originando grandes prejuízos
para empresas ou particulares.

É aqui que nos toca, e temos de precaver-nos contra estas intrusões, a

barreira que os pode impedir é um programa chamado de firewall, este
nega ou avisa qualquer entrada no computador. O linux já tem uma
firewall integrada, no passo seguinte vamos ver as suas configurações.

Para configurar a firewall selecciona a opção nível de segurança nas

configurações do sistema: Exemplo figura 34

V02 - 56 -
 Manual de Segurança de redes MI01-1005

Se optar por pelo nível Médio a firewall não permite acesso aos serviços
que utilizam portas inferior a 1024 e ao serviço NFS.

Se optar pelo nível Alto a firewall impede qualquer acesso ao computador

em qualquer porta.

Também tem a opção personalizar para configurar ao seu critério os

serviços disponíveis.

O serviço responsável pelo firewall é o iptables, qualquer alteração que

faça terá de reiniciar o serviço.

Esta ferramenta apesar de simples é muito limitada. O que se aconselha

fazer é ou a instalação de alguma outra firewall para linux, ou a
configuração directa do iptables em linha de comandos.

Em termos do linux a evolução dos filtros foi a seguinte:

--> kernel 2.0.x: ipfwadm
--> kernel 2.2.x: ipchains
--> kernel 2.4.x: iptables

Assim neste momento usamos o iptables. Este iptables é muito poderoso e

seguro (muitas firewalls por hardware trabalham com uma versão de linux
reduzida e o iptables).

Antes de começarmos a fazer configurações no iptables, vamos ver as suas

opções.

O seguinte esquema apresenta um resumo dos filtros possíveis num

computador:

V02 - 57 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Assim podemos criar chains de três tipos:

INPUT Utilizada quando o destino final é a própria

máquina firewall
OUTPUT Qualquer pacote gerado na máquina
firewall e que deva sair para a rede será
tratado pela chain OUTPUT
FORWARD Qualquer pacote que atravessa o firewall,
oriundo de uma máquina e direccionado a
outra, será tratado pela chain FORWARD
A sintaxe básica do iptables é a seguinte:

#iptables [opção] [chain] [dados] -j [acção]

Opção:

-L Lista as regras activas no iptables

-A (Append) Adiciona uma nova regra
-D (Delete) Apaga uma regra
-P (Policy) Altera a politica da chain
-F (Flush) Apaga todas as regras

A opção –A tem prioridade sobre a -P. É possível criar uma politica a

impedir a recepção de todos os pacotes de forward, e depois adicionar
algumas regras com aqueles que queremos permitir.

Dados:
-s (Source) indica a origem do pacote
-d (destinatio) indica o destino do pacote
-p (protocol) indica o protocolo
-i (in-interface) indica a interface (placa de rede) de entrada
-o (out-interface) indica a interface (placa de rede) de saída

V02 - 58 -
 Manual de Segurança de redes MI01-1005

! Exclui o dado
--sport (source port) para indicar qual a porta de origem do pacote (para ser
usado com a opção –p)
--dport (destination port) para indicar qual a porta de destino do pacote
(para ser usado com a opção –p)

Quando estamos a trabalhar com o –s e o –d podemos usar as seguintes

opções:

O endereço IP da rede: 172.20.0.0/255.255.0.0 ou 172.20.0.0/16

(o IP e a indicação da subnetmask separada com uma barra (/) )

Exemplo: -s 10.0.0.0/255.0.0.0
-d 192.20.30.0/24

O endereço IP do computador, neste caso a subnet mask é sempre

255.255.255.255. Se a omitirmos o linux assume-a automaticamente.

Exemplo: -s 172.21.100.10
-d 172.21.100.10/255.255.255.255

A opção –p especifica o protocolo a ser filtrado. O protocolo IP pode ser

especificado pelo seu número (ver o ficheiro: /etc/protocols) ou pelo
nome. Os protocolos mais utilizados são udp, tcp e icmp.

Exemplo: -p icmp

As opções -i e –o:

O -i não pode ser utilizado com a chain OUTPUT.

O -o não pode ser utilizado com a chain INPUT.

Exemplo: -i eth0

O sinal + pode ser utilizado para simbolizar várias interfaces.

Exemplo: -i eth+

eth+ refere-se à eth0, eth1, eth2 etc.

A opção ! é usada com -s, -d, -p, -i, -o e outros, para excluir o argumento.
Exemplo: -s ! 10.0.0.1 (qualquer endereço de entrada, excepto o
10.0.0.1. )

-p ! tcp (Todos os protocolos, excepto o TCP.)

V02 - 59 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

As sub opções --sport e –dport só podem ser usadas com as opções -p udp
e -p tcp.

Exemplo: -p tcp --sport 80 (porta 80 sobre protocolo TCP)

As acções possíveis são as seguintes:

ACCEPT Aceitar. Permite a passagem do pacote.

DROP Abandonar. Não permite a passagem do pacote, descartando-o. Não
avisa a origem sobre o ocorrido.
REJECT Igual ao DROP, mas avisa a origem sobre o ocorrido (envia pacote icmp
unreachable).
LOG Cria um log referente à regra, em /var/log/messages. Usar antes de
outras acções.

Agora que já vimos quais as opções que podemos usar no comando

iptables, iremos ver alguns exemplos de regras:

Listar todas as regras existentes:

iptables –L

Apaga todas as regras sem alterar a política

iptables –F

Estabelece uma política de proibição inicial de passagem de pacotes entre

sub-redes

iptables -P FORWARD DROP

Todos os pacotes oriundos de qualquer sub-rede e destinados a qualquer

sub-rede deverão ser apagados

iptables -A FORWARD -j DROP

Todos os pacotes oriundos de qualquer sub-rede e destinados a qualquer

sub-rede deverão ser aceites.

iptables -A FORWARD -j ACCEPT

Os pacotes oriundos da sub-rede 10.0.0.0 (máscara 255.0.0.0) e destinados

ao host www.sapo.pt deverão ser apagados

V02 - 60 -
 Manual de Segurança de redes MI01-1005

iptables -A FORWARD -s 10.0.0.0/8 -d www.sapo.pt -j DROP

Os pacotes icmp oriundos do host 10.0.0.5 e destinados a qualquer lugar

deverão ser apagados

iptables -A FORWARD -s 10.0.0.5 -p icmp -j DROP

O tráfego de pacotes TCP oriundos da porta 80 do host 10.0.0.5 e

destinados a qualquer lugar deverá ser gravado em log. No caso,
/var/log/messages

iptables -A FORWARD -s 10.0.0.5 -p tcp --sport 80 -j LOG

Os pacotes que entrarem por qualquer interface, exceto a eth0, serão

aceites

iptables -A FORWARD -i ! eth0 -j ACCEPT

Os pacotes TCP destinados à porta 25 de qualquer host deverão ser aceites

iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

No caso de existir algum conflito entre regras, sempre será válida a

primeira. Assim, entre as regras:

iptables -A FORWARD -p icmp -j DROP

iptables -A FORWARD -p icmp -j ACCEPT

Será válida a regra:

iptables -A FORWARD -p icmp -j DROP

Já entre as regras:

iptables -A FORWARD -p icmp -j ACCEPT

iptables -A FORWARD -p icmp -j DROP

Será válida a regra:

iptables -A FORWARD -p icmp -j ACCEPT

Isso ocorre porque as regras são processadas na ordem em que aparecem.

Depois do processamento da regra, pode haver continuidade de
processamento ou não. Isso irá depender da acção:

ACCEPT  Pára de processar as regras para o pacote actual;

V02 - 61 -
NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

DROP  Pára de processar as regras para o pacote actual;

REJECT  Pára de processar as regras para o pacote actual;
LOG  Continua a processar as regras para o pacote actual;

Conforme criamos determinadas regras, devemos prever o retorno. Por

exemplo, caso exista a seguinte situação:

iptables -P FORWARD DROP

iptables -A FORWARD -s 10.0.0.0/8 -d 172.20.0.0/16 -j ACCEPT

Com as regras anteriores, fechamos todo o FORWARD e depois abrimos da

sub-rede 10.0.0.0 para a sub-rede 172.20.0.0. No entanto, não
possibilitamos a resposta da sub-rede 172.20.0.0 para a sub-rede 10.0.0.0.
O mais correcto seria:

iptables -P FORWARD DROP

iptables -A FORWARD -s 10.0.0.0/8 -d 172.20.0.0/16 -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/8 -s 172.20.0.0/16 -j ACCEPT

As regras que criarmos não ficam guardadas no computador. Apenas

enquanto não desligarmos a maquina. Quando ela for reiniciada recupera
as configurações padrão.

Caso quiséssemos que as nossas configurações fiquem guardadas e surjam

sempre que reiniciarmos o computador deveremos fazer o seguinte:

Primeiro guardamos as regras com o seguinte comando:

iptables-save>ficheiro

Para voltarmos a colocar na memória as regras usamos o seguinte

comando:

iptables-restore<ficheiro

Para que o carregamento das regras seja feito logo no arranque do

computador teríamos e fazer:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables-restore < /etc/firewall

(neste caso teríamos guardado no ficheiro /etc/firewall as nossas regras

com o comando iptables-save>/etc/firewall)

Estas linhas de comando podem ser inseridas no fim do ficheiro

/etc/rc.d/rc.local.

V02 - 62 -
 Manual de Segurança de redes MI01-1005

(a primeira linha vai activar o routeamento dinâmico de pacotes a nível do

kernel. Só a devemos usar caso o computador esteja a fazer de routeador
entre duas redes – o que poderá ser o caso se estivermos a falar de um
computador que faça a ligação entre uma rede local e a Internet).

Existem algumas extensões de regras para iptables que permitem certas

filtragens especiais, principalmente para hackers. Quando as criamos estas
deverão ser as primeiras linhas do firewall:

Para proteger do ping:

iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP

Para proteger do Ping of Death

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j

ACCEPT

Para proteger de ataques Syn-flood

iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

Para proteger de Port scanners avançados (nmap)

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j

ACCEPT

Existe, ainda, uma regra muito importante que não é uma extensão mas
também pode ser utilizada como segurança. É a protecção contra pacotes
danificados ou suspeitos:

iptables -A FORWARD -m unclean -j DROP

ACESSO REMOTO
O linux permite o acesso remoto ao computador de uma forma segura.
Esse processo é feito pelo comando ssh (Secure SHell).

Para podermos aceder remotamente a um computador linux só temos de

fazer o seguinte comando:

ssh 172.21.0.1

Caso seja a primeira vez que se esteja a aceder a essa maquina vai-nos ser
pedida a confirmação do acesso, ao que devemos escrever yes.

V02 - 63 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

Depois é só inserirmos a palavra passe do utilizador. Estamos numa linha

de comandos no computador remoto.

Existe uma forma simples para verificar se está algum utilizador a aceder à
nossa máquina remotamente:

Se fizermos o comando who é-nos apresentada uma lista de utilizadores

que estão a trabalhar no computador. Atenção que o linux assume que em
cada consola em que estivermos ligados está um utilizador. Se virmos
algum utilizador estranho visualizamos a consola em que ele está.

Depois com o comando ps –e podemos ver qual o número do processo em

que essa consola está. O comando ps –e permite ver todos os processos
que estão a ser executados na nossa maquina.

Agora com o número do processo podemos eliminar o processo como

comando Kill -9 <nº processo>. Desta forma o “invasor” foi expulso do
nosso computador. Atenção que a forma que ele usou para entra continua
vulnerável. Teríamos de saber como é que ele entrou no computador para
fecharmos a porta. Por exemplo no caso do ssh teríamos de parar o serviço
sshd para que não fosse possível aceder à nossa máquina por ele.

PARTILHA DO AMBIENTE DE TRABALHO

Como no Windows no Linux também é possível fazer um convite para
partilhar o ambiente de trabalho. No Linux esta funcionalidade tem uma
extrema segurança tendo cada convite uma duração de uma hora, este
utilitário encontra-se em ferramentas do sistema, para alguém poder-se
ligar ao nosso computador por este serviço só é possível se existir um
convite para tal, onde será fornecido todos os dados necessários para
ligação.

V02 - 64 -
 Manual de Segurança de redes MI01-1005

Clique no botão Criar um convite pessoal e irá surgir uma janela com todos
os dados necessários para que seja possível partilhar o ambiente de
trabalho

LIGAÇÃO A UM AMBIENTE DE TRABALHO REMOTO

Não esquecer que é necessário ter os dados para o login, e que ligação tem
apenas uma hora de duração, que começa a contar a partir do momento
que é criado o convite. O utilitário que permite esta funcionalidade
encontra-se em Internet, outras aplicações e Ligação ao Ecrã Remoto

Atenção que a seguir ao endereço tem de colocar o zero.

V02 - 65 -
 NHK – Formação e Novas Tecnologias Unipessoal Lda MI01-1005

BIBLIOGRAFIA
 Ajuda do Windows 2003
 Site da Microsoft (www.microsoft.com)
 Stanek, William R., Microsoft Windows Server 2003 –
Administrator’s Pocket Consultant, Microsoft Press
 Pereira, Fernando, Linux - 4ª Edição Actualizada - Curso Completo,
FCA
 http://www.caida.org/

V02 - 66 -