RECOMENDAÇÕES DE SEGURANÇA

PARA USO DA INTRAGOV

Secretaria Estadual de

Gestão Pública
 Sumário

1. Introdução .......................................................................................................................... 3
2. Política de Segurança ..................................................................................................... 4
2.1 Elementos de uma Política de Segurança ......................................................... 5
2.2 Planejamento de uma Política de Segurança ................................................... 5
2.3 Implantação da Política de Segurança ............................................................... 6
3. Recomendações a serem adotadas ............................................................................ 6
4. Dispositivos de proteção de Redes............................................................................. 9
5. Topologia de Rede (exemplo) ..................................................................................... 11
6. Procedimentos relativos a bloqueio/desbloqueio de IPs .................................... 12
7. Conclusões Finais.......................................................................................................... 13
8. Glossário .......................................................................................................................... 14

PRODESP – GIOV Página 2

1. Introdução

Atualmente as redes de microcomputadores têm deixado de ser apenas uma maneira simples
de se conectar computadores e compartilhar recursos para se transformar num diferencial
determinante no sucesso das organizações. A competitividade do mercado mundial se pauta
pela rápida obtenção de informações, com total integridade e confidencialidade dos dados.

Empresas segmentos e portes distintos contam com soluções que apresentam níveis
expressivos de segurança e contingência, os quais, até pouco tempo atrás só eram
encontrados em sistemas de grande porte, com custos exorbitantes.

Similarmente, a Rede INTRAGOV lida com informações confidenciais e de interesse público, as

quais muitas vezes trafegam num meio comum (Rede Internet). Tal fato acarreta em
preocupações por parte dos órgãos, já que informações de cunho estratégico para o Governo
do Estado podem ficar expostas se não foram adotadas medidas de segurança. Isto se agrava
ainda mais quando o órgão signatário da INTRAGOV passa a ser o ponto de convergência de
suas unidades remotas.

É necessário, portanto, que os órgãos participantes da Rede INTRAGOV adotem uma política
de segurança que proteja seus ambientes de rede interna e principalmente sua conexão com o
ambiente externo.

Neste intuito, as equipes técnicas da Gerencia de Infraestrutura (PGI) elaboraram este

documento, o qual destina-se a todos os usuários da Rede IP Multisserviços, Administradores
de Rede e Responsáveis pelos ambientes de Rede e Data Center dos órgãos signatários da
INTRAGOV. O mesmo tem por objetivo orientar esses profissionais quanto às principais
recomendações de segurança da informação a serem implantadas em seus ambientes de
trabalho, de forma a permitir o acesso seguro a aplicações disponíveis nas Intranets de
Governo e na Rede Internet Pública.

Cabe salientar que devido a heterogeneidade dos ambientes de rede existentes no âmbito do
Governo do Estado (equipamentos de diferentes marcas, modelos, funcionalidades; Sistemas
Operacionais e aplicativos distintos; diferentes níveis de capacitação dos usuários dos serviços
e das equipes técnicas alocadas nos ambientes de rede; entre outras), algumas das
recomendações aqui contidas poderão não se aplicar a determinados ambientes. Esta
avaliação, no entanto, caberá ao Responsável de cada ambiente que está recebendo este
documento, dentro de suas atribuições.

PRODESP – GIOV Página 3

2. Política de Segurança

Existem dois aspectos intrínsecos à segurança de redes: a segurança interna e a segurança

externa. A segurança interna compreende a proteção de dados sensíveis contra a população
geral de usuários do Órgão. A segurança externa diz respeito à proteção de todos os dados da
organização contra intrusos externos.

Para ambos os casos, uma Política de Segurança compreensiva tem que ser estabelecida. Ela
deve definir os direitos de acesso à informação dos usuários, suas obrigações quanto a
proteção dos dados proprietários da organização, tais como manutenção de passwords e a
implantação de medidas a serem tomadas em caso da detecção de uma violação de segurança.
Uma Política de Segurança bem elaborada é uma ferramenta preciosa na determinação do
melhor uso possível para o orçamento destinado à proteção da rede.

Cada Órgão Signatário da Rede INTRAGOV é responsável por garantir a segurança de seus
sistemas e informações e, para tanto, deverá implantar políticas de segurança que garantam,
minimamente, a disponibilidade, integridade e confidencialidade das informações a serem
publicadas ou acessadas em suas Intranets pela INTRAGOV ou mesmo via Internet.

Acima de tudo, esta Política de Segurança deverá ser capaz de identificar quais informações
são importantes para cada órgão e como as mesmas deverão ser protegidas.

Dentre as principais premissas relacionadas a essa Política de Segurança a ser adotada pelos
órgãos signatários em seus ambientes, estão:

Atualização periódica das documentações dos sistemas e das normas existentes que
englobem todos os pontos de sua rede, de forma a minimizar os riscos que possam
prejudicar o próprio órgão ou outros órgãos que se utilizam da Rede de Comunicações
do Governo (Rede IP Multisserviços). Esta documentação deve conter instruções para
uma rápida recuperação dos sistemas e aplicações em caso de problemas;

Implantação de mecanismos de autenticação de usuários com senhas “fortes” e trocas

periódicas que permitam que os usuários tenham acesso às aplicações e sistemas. Esta
autenticação, que poderá ser monitorada pelo próprio órgão, deverá permitir a rápida
identificação do usuário em caso de uso indevido dos serviços disponíveis na Intranet
do Governo e na própria Rede Internet;

Utilização de sistemas de proteção como Firewall, IDS, IPS, Proxy, entre outros, para a
conexão com quaisquer dispositivos externos a sua rede, os quais devem ser
configurados de acordo com as normas e políticas estabelecidas pelo próprio órgão em
sua Política de Segurança.

Normalmente uma Política de Segurança define o que é permitido e o que é proibido aos
usuários de seus sistemas. Basicamente existem duas abordagens por trás de qualquer política
de segurança:

Proibitiva – tudo que não é expressamente permitido é proibido;

Permissiva – tudo que não é expressamente proibido é permitido.

PRODESP – GIOV Página 4

Geralmente as instituições mais preocupadas com a segurança adotam a primeira abordagem,
onde são descritas exatamente quais operações são permitidas. Qualquer operação que não
esteja descrita de forma detalhada na Política de Segurança deve ser considerada ilegal.

2.1 Elementos de uma Política de Segurança

A Política de Segurança deve, obrigatoriamente, contemplar cinco elementos:

 Disponibilidade: O sistema deve estar disponível para uso quando o usuário precisar.
Dados críticos devem estar disponíveis de forma ininterrupta;

 Utilização: O sistema e os dados devem ser utilizados para as devidas finalidades;

 Integridade: O sistema e os dados devem estar completamente íntegros e em

condições de serem utilizados;

 Autenticidade: O sistema dever ter condições de verificar a identidade do usuário, e

este deve ter condições de verificar a identidade do sistema;

 Confidencialidade: Dados privados devem ser apresentados somente para os donos

dos dados ou para o grupo de usuários para o a qual o dono dos dados permitir.

2.2 Planejamento de uma Política de Segurança

A definição de uma Política de Segurança para um ambiente de Rede compreende algumas
etapas a serem previstas pelos Administradores de TI do ambiente, onde devem ser avaliadas
as questões relacionadas ao objeto a ser protegido.

Estas questões são as seguintes:

O que se está querendo proteger (dados estratégicos para a organização, aplicação,

base de dados, etc...)?
Qual a probabilidade de um ataque (nível de vulnerabilidade: alto, médio ou baixo)?
Quais serão os prejuízos se o ataque for bem sucedido (financeiro, imagem do
Governo, exposição na mídia, etc...)?
O que é preciso para proteger (equipamentos, software, políticas efetivas,
capacitação, etc...)?
Qual o custo para implementar esta proteção (se for maior do que o valor do “objeto”
a ser protegido provavelmente não será factível)?
Haverá necessidade de envolvimento de outras áreas e/ou pessoas (usuários da Rede,
técnicos, atendentes, etc...)

PRODESP – GIOV Página 5

 Como serão registrados os ataques e as soluções adotadas (logs, relatórios, registro de
ocorrência, etc...)?
Quais serão as medidas a serem adotadas para evitar novas ocorrências
(esclarecimentos, conscientização, ações conjuntas, treinamento, etc...)?
Será preciso especificar normas emergenciais ou rever as existentes?

2.3 Implantação da Política de Segurança

Para que uma Política de Segurança seja eficientemente implantada em um ambiente,
necessariamente deverá:

Estar aprovada pelo responsável maior deste ambiente (Secretário, Diretor,

Presidente, etc...);
Ser amplamente divulgada (conscientização e comprometimento dos usuários da
Rede);
Ter acompanhamento constante de um ou mais profissionais da rede;
Prever atualizações constantes.

3. Recomendações a serem adotadas

Através de um trabalho de pesquisa baseado em experiencias de mercado, são apresentadas,
a seguir, algumas recomendações básicas adotadas em ambientes de trabalho e Data Center.

 Pelos Usuários das Redes (ambiente de escritório / estações de trabalho):

Usar senhas seguras contendo letras maiúsculas, minúsculas, números e símbolos;

Nunca transmitir senhas por telefone ou correio eletrônico;
Não abrir e-mails de remetentes externos e desconhecidos;
Não abrir ou executar arquivos anexados vindos de remetentes desconhecidos;
Não instalar ou utilizar softwares de qualquer tipo sem a autorização do
Administrador da Rede;
Não desabilitar a proteção de tela;
Não deixar a sessão aberta ao se ausentar do seu ambiente de trabalho;
Não manter informações sigilosas em papel, tais como senhas de acesso e
configurações da Rede;
Não transmitir e/ou divulgar informações sobre o ambiente de trabalho;
Instalar todas as atualizações de segurança;
Desativar as opções de execução automática de arquivos anexados.

PRODESP – GIOV Página 6

 Pelos Administradores das Redes:

Manter sempre atualizada a solução de antivírus das estações da rede (engine e

biblioteca);
Utilizar softwares anti-spyware em toda rede;
Sempre que possível, utilizar programas que monitorem a existência de senhas
frágeis na rede;
Remover contas inativas de usuários da rede;
Manter o Sistema Operacional das estações sempre atualizado (principalmente o
Windows);
Utilizar senhas de BIOS nos servidores da rede e, sempre que possível, também
nas estações de trabalho;
Configurar na rede a utilização de nome, ao invés de endereço IP, para acesso a
outros sistemas;
Implantar uma política eficiente de backup das informações guardadas na rede;
Não permitir o uso indevido de modems nas áreas;
Verificar periodicamente as estações de trabalho (local e remotamente) quanto
ao uso de aplicações não autorizadas e/ou acessórios que possam causar riscos de
ataque e/ou violação das políticas de segurança definidas no ambiente;
Manter os equipamentos de Telecomunicações (rack da Operadora da Rede) em
ambiente apropriado e seguro;
Desabilitar o acesso remoto aos equipamentos de rede (Servidores, switches,
Firewalls, etc.);
Implantar mecanismos de autenticação WEP ou WAP em ambientes que se
utilizam de redes Wireless;
Verificar periodicamente a existência de possíveis compartilhamentos na rede;
Manter a equipe técnica responsável pela gestão da rede permanentemente
atualizada quanto a ações a serem adotadas diante de possíveis ameaças e
incidentes de segurança, através da capacitação e participação de eventos, como
palestras e seminários;
Publicar e divulgar para os usuários da rede, periodicamente, as políticas de
segurança adotadas no ambiente;
Promover reuniões e palestras periódicas de conscientização dos usuários sobre
as Políticas de Segurança adotadas no ambiente e boas práticas quanto ao uso da
rede;
Em reuniões, apresentações e eventos, não utilizar nem fornecer documentos
referentes a informações detalhadas sobre a topologia da rede existente que
possam servir de objeto de ataques (endereços IPs de servidores, roteadores,
switches, Firewall, entre outros).

PRODESP – GIOV Página 7

 Pelos Administradores dos ambientes de Data Center:

Adotar políticas de classificação das informações por grau de importância e

comprometimento dos serviços;
Adotar uma política eficiente de controle de acesso ao ambiente;
Manter atualizados os Sistemas Operacionais dos servidores;
Manter atualizada(s) a(s) solução(ões) de antivírus utilizada(s) nos servidores;
Manter atualizadas as versões dos softwares utilizadas nos Servidores do ambiente,
como Bancos de Dados, por exemplo;
Bloquear as contas de convidado (guest) em servidores;
Implantar soluções de Firewall, Proxies, Cache, IDS, sempre que possível;
Utilizar ferramentas de filtro de conteúdo e SPAM;
Utilizar nomes, ao invés de IPs, para identificar servidores;
Adotar políticas de troca de senhas dos servidores do ambiente;
Configurar os servidores que resolvem endereços de Internet através da restrição de
consultas feitas por políticas de acesso / ACLs, evitando que outras redes resolvam
nomes consultando os chamados DNS Recursivos Abertos;
Separar os Servidores DNS Autoritativos (de domínios cadastrados pela própria
entidade) dos Recursivos;
Sempre manter, pelo menos, dois servidores DNS ativos para fins de
redundância/contingência;
Controlar, monitorar e armazenar registros de eventos de rede, aplicações, transações,
etc.;
Estabelecer procedimentos de backup e testes periódicos de restore;
Adotar mecanismos de criptografia quando necessário;
Utilizar perfil de “usuário”, sempre que possível;
Periodicamente, treinar e capacitar os profissionais que atuam no ambiente.

PRODESP – GIOV Página 8

4. Dispositivos de proteção de Redes
A seguir são apresentados os principais recursos a serem empregados em ambientes para
proteção da rede.

 Firewall
À medida que a maior parte das organizações conecta suas redes privadas à rede
Internet, a questão fundamental passa a ser como impedir que usuários não
autorizados ganhem acesso livre a dados sensíveis da organização. O principal
dispositivo que protege as redes privadas dos acessos da rede pública, é chamado de
“Firewall”.

Um firewall é simplesmente uma barreira entre duas redes, na maioria dos casos uma
rede interna, denominada rede confiável ou trusted, e uma rede externa não confiável
ou untrusted. Firewalls examinam o tráfego nos dois sentidos e bloqueiam ou
permitem a passagem de dados de acordo com um conjunto de regras definido pelo
Administrador da Rede.

Esses dispositivos são usualmente constituídos de um conjunto de hardware e

software e são muito utilizados para aumentar a segurança de redes privadas
conectadas à Internet.

 IDS (Intrusion Detection System)

Sistemas de Detecção de Intrusos ou simplesmente IDS permitem a analise de tráfego

de forma individual em uma rede, de forma a descobrir quando estão ocorrendo
acessos não autorizados que podem indicar a ação de um intruso (cracker) ou até
mesmo funcionários mal intencionados.

Basicamente o IDS é instalado em um servidor para alertar e identificar ataques e

tentativas de acessos indevidos à própria máquina.

 IPS (Intrusion Prevention System)

Sistema de Prevenção de Invasão ou simplesmente IPS, é uma solução ativa de

segurança. O IPS tem capacidade para fornecer segurança em todos os níveis de
sistemas, desde o núcleo do Sistema Operacional até os pacotes de dados da rede. O
IPS provê políticas e regras para o tráfego de rede, juntamente com um IDS, para
emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito,
permitindo também que administradores executem ações relacionadas ao alerta dado.

PRODESP – GIOV Página 9

 Ou seja, enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas
para parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a
capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode
impedir alguns ataques não conhecidos, devido a sua base de dados de
“comportamentos” de ataques genéricos.

 Anti-SPAMs

Existem basicamente dois tipos de software que podem ser utilizados para barrar
spams: aqueles que são instalados nos servidores, e que filtram os e-mails antes que
cheguem atá o usuário, e aqueles que são instalados nas estações dos usuários, que
filtram os e-mails com base em regras individuais de cada usuário.

Esses programas baseiam-se na idéia de analisar o assunto e o código da mensagem a

fim de obter a probabilidade de ela ser ou não um spam. Uma vez identificada, a
mensagem pode ser apagada ou movida para um local à parte automaticamente.
Geralmente, os padrões de busca podem ser definidos pelo usuário, o que torna os
filtros uma ferramenta potencialmente poderosa. Entretanto, uma desvantagem deste
sistema é a possibilidade do filtro julgar como sendo um spam uma mensagem
importante que coincidentemente tinha padrões típicos.

 Anti-vírus
Os vírus de computadores são a forma mais comum de ataque a sistemas. Eles
penetram em computadores pessoais e servidores na forma de programas executáveis
modificados ou macros que se atrelam a documentos. Uma vez dentro desses sistemas
eles iniciam a sua missão de disseminação e destruição. Uma vez dentro dos sistemas,
eles se disseminam com grande velocidade utilizando-se de técnicas astuciosas.

Um dos meios mais comuns de introdução de vírus em um sistema ocorre através do

recebimento de e-mails. Outra maneira, também bastante comum, se dá através de
trocas de arquivos entre estações, dispositivos de armazenamento de dados, como
Pendrives, por exemplo, ou por instalação de programas ilegais (piratas) nas estações
da rede.

Atualmente a implantação de um programa anti-vírus em todos os servidores e

estações da rede se torna imprescindível. Essa solução, no entanto, precisa ser
atualizada com frequencia, caso contrário sua eficácia deixará de existir, pois novos
vírus surgem quase que diariamente.

Normalmente a implantação e atualização de soluções anti-vírus cabem aos

profissionais da área de Rede da organização.

PRODESP – GIOV Página 10

5. Topologia de Rede (exemplo)
Segue um exemplo de topologia mais comumente utilizada pelas organizações na proteção de
seus ambientes de rede:

PRODESP – GIOV Página 11

6. Procedimentos relativos a bloqueio/desbloqueio de IPs

Conforme previsto no atual Contrato da Rede INTRAGOV, cabe a Operadora da Rede o

provimento e a gestão do Serviço de Acesso à Internet (SAI) aos órgãos signatários. Assim, toda
gestão do serviço está sob a responsabilidade da Telefônica.

Ocorre que muitas vezes Endereços IPs da própria Rede INTRAGOV, utilizados pelos órgãos
signatários, geram (mesmo que involuntariamente, por ação de suas estações que podem
estar infectadas com vírus) ataques à estrutura da Unidade Provedora Internet, elevando seu
processamento a níveis que podem indisponibilizar a prestação do Serviço. Diante desta
situação, a Operadora, através do uso de suas soluções de monitoramento de Rede, pode
identificar estes ataques e bloquear os endereços IPs que estão gerando este volume de
requisições à estrutura da UPI.

Caso isso aconteça, serão adotadas as seguintes ações por parte da Operadora e da
Administradora da Rede (PRODESP):

a) A Telefônica informará a área de Administração da Rede IP Multisserviços sobre o(s)

bloqueio(s) executado(s);
b) A área de Administração da Rede IP Multisserviços enviará um e-mail para os dois
responsáveis do órgão proprietário do(s) IP(s) ofensor(ES), cadastrados no sistema da
INTRAGOV (Portal Web de Gerenciamento ou SAOG), com cópia para a área de
Segurança de Rede da PRODESP;
c) Os responsáveis do órgão deverão tomar as providências cabíveis junto às suas
equipes técnicas para a avaliação e limpeza da(s) estação(ões) de trabalho
infectada(s);
d) Após a limpeza da(s) estação(ões), um dos responsáveis do órgão deverá enviar um e-
mail para a área de Segurança de Rede da PRODESP (segurancarede@sp.gov.br), com
cópia para a Divisão Intragov (redeip@intragov.sp.gov.br), informando as providências
adotadas e solicitando o desbloqueio da(s) referida(s) estação(ões);
e) A Operadora irá desbloquear a(s) estação(ões) conforme solicitado pelo órgão, porém
manterá o monitoramento sobre o(s) referido(s) IP(s), pois as medidas adotadas pelo
órgão poderão não ter solucionado totalmente o problema;
f) Caso o problema volte a ocorrer (continuem os ataques por parte do mesmo IP), o
endereço será novamente bloqueado.

PRODESP – GIOV Página 12

7. Conclusões Finais

A evolução das técnicas de comunicação e acesso a dados e informações é muito dinâmica, por
isso as técnicas de segurança têm que se adaptar constantemente aos novos flancos de
ataque. Uma organização tem que avaliar o valor relativo da informação a ser protegida contra
a possibilidade de uma violação da segurança e os custos de implementar diversas medidas de
proteção. Essa avaliação do custo tem que ser feita em todos os níveis da rede e considerando-
se as diversas técnicas de proteção disponíveis.

Este documento representa uma iniciativa da PRODESP no auxílio aos órgãos signatários
INTRAGOV quanto a possíveis medidas a serem adotadas no combate diário aos ataques
constantes por parte de intrusos e/ou vírus que seus ambientes estão submetidos, sendo que
a adoção dessas medidas deverá ser avaliada pelos próprios órgãos e, caso necessite de
maiores esclarecimentos e orientações, poderá contatar a área de Suporte de Rede da
PRODESP através do e-mail segurancarede@sp.gov.br.

PRODESP – GIOV Página 13

8. Glossário

Antispam - São aplicativos instalados geralmente em servidores, mas também em programas

de leitura de e-mail, com a intenção de interceptar mensagens não requisitadas pelo
destinatário.

BIOS (Sistema Básico de Entrada/Saída) - programa de computador pré-gravado em memória

permanente (firmware) executado por um computador quando ligado. Ele é responsável pelo
suporte básico de acesso ao hardware, bem como por iniciar a carga do sistema operacional.

DNS (Sistema de Nomes de Domínios) - é um serviço que traduz nomes de domínios

para endereços IP e vice-versa.

DNS Recursivo – é um servidor que, ao receber uma solicitação de qualquer solicitante e,

não dispondo da informação em cache ou não sendo o seu próprio dominio, encarrega-se de ir
buscar essa informação em outro servidor.

Firewall - Dispositivo constituído pela combinacão de software e hardware, utilizado para

dividir e controlar o acesso entre redes de computadores.

IDS (Sistema de Detecção de Intrusão) / IPS (Sistema de Prevenção de Intrusão) – São

sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts
de uma ou mais redes.

Proxy - Tipo de servidor que compartilha a sua conexão com as demais estações da rede,
atendendo assim, de forma mais ágil, as futuras requisições dessa rede ao mesmo conteúdo.
Além dessa funcionalidade, este tipo de servidor permite a filtragem do conteúdo a ser
acessado pelas estações que se interconectam a ele.

SPAM - Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente
são enviados para um grande número de pessoas.

PRODESP – GIOV Página 14