O CERT-Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil- elaborou um excelente documento com recomendaes para configurao, administrao

e operao segura de redes conectadas Internet - "Prticas de Segurana para Administradores de Redes Internet. Para definir este documento, ningum melhor do que quem o criou, pois faz a apresentao de forma nica e completa: Este documento procura reunir um conjunto de boas prticas em configurao, administrao e operao segura de redes conectadas Internet. A implantao destas prticas minimiza as chances de ocorrerem problemas de segurana e facilita a administrao das redes e recursos de forma segura. As recomendaes apresentadas so eminentemente prticas e, tanto quanto possvel, independentes de plataforma de software e hardware. A maioria dos princpios expostos genrica; a sua efetiva aplicao requer que um administrador determine como estes princpios podem ser implementados nas plataformas que ele utiliza. Este documento dirigido ao pessoal tcnico de redes conectadas Internet, especialmente aos administradores de redes, sistemas e/ou segurana, que so os responsveis pelo planejamento, implementao ou operao de redes e sistemas. Tambm podem se beneficiar da sua leitura outras pessoas com conhecimento tcnico de redes. Os assuntos abordados parte do princpio que o leitor pode estar usando qualquer sistema, deixando-o livre para ler e aplicar suas sugestes conforme a necessidade e de acordo com a plataforma a qual o mesmo usa em seu cotidiano. relevante lembrar, ainda que este trabalho tenha sido escrito visando a equipe tcnica de redes o mesmo ainda poder ser de grande serventia para outras pessoas que embora no estejam especificadas deduz-se que ai estejam includos docentes e discentes de cursos tcnicos, graduao e ps-graduao em reas afins,bem como quaisquer outras pessoas interessadas no assunto. O documento no esteja disponvel sob uma licena dita livre, tal como, GNU FDL, Creative Commons ou outra. Conforme o autor registrou no tpico de nmero 1.3 o arquivo pode ser livremente copiado, distribudo e utilizado para qualquer fim, desde que no seja comercializado, nem modificado.

Na parte onde est mencionada a criao de uma poltica de segurana, o documento trata da importncia de tal documento e da sua utilizao cada vez mais necessria no cotidiano da TI. As normas NBR ISO/IEC 17799, NBR ISO/IEC 27001, ITIL, COBiT afirmam a necessidade da criao e implementao de documentos desta natureza. No captulo que trata das dicas de instalao e configurao segura de sistemas, trata-se de informaes importantes de como se deve proceder a uma instalao de um novo sistema em um servidor, proteo por particionamento, a confeco da documentao da instalao e da configurao dos programas, critrios para criar a senha administrativa, instrues sobre a instalao mnima seguida da desativao de servios que no sero utilizados, instalao de correes e atualizaes de segurana e preveno de abusos na utilizao de recursos como os fornecidos por servidores SMTP e PROXY. A Administrao e operao segura de sistemas, maior nfase deste documento, v-se desde a educao dos usurios, recomendaes sobre redes sem fio, LOGs, DNS, WHOIS, criptografia e servios que esto presentes no cotidiano do administrador de redes computacionais. O documento trata de questes relacionadas com a disciplina do usurio, porm esta seo no contempla todos os assuntos e nem vivel para usurios comuns de computadores. O CERT.BR disponibiliza para estes usurios uma cartilha prpria para este fim, com dicas e sugestes para pessoas sem muito conhecimento tcnico. No citado endereo h inclusive alguns vdeo tutoriais que podem ser utilizados at mesmo em salas de aula e em campanhas educativas. Encontramos tambm as sees destinadas a elencar recomendaes sobre servidores de tempo (NTP) e zonas de tempo; importncia da necessidade de se manter um canal eficiente de comunicao entre os membros da equipe tcnica, necessidade de se manter controle sobre alteraes na configurao de um sistema, o cuidado com o uso de contas privilegiadas (tal como o root no Linux ou o Administrator no Windows), cuidados com os logs de auditoria, cuidados com a configurao de um servidor DNS, a necessidade de se manter os dados de contato atualizados, o cuidado com uso de protocolos nocriptografados, endereos reservados, polticas de backup, a importncia de se manter atualizado e informado, precaues com engenharia social, firewall e redes wireless.

Apreciao Crtica O documento uma obra de fcil leitura, com a vantagem de conter um ndice de navegao prtico e til, facilitando para que o leitor tenha faa a leitura de forma seqenciada ou partindo direto para o assunto que o interessa, evitando assim, o desgaste do leitor e tornando o documento mais manusevel. Pela sua forma de editorao, abrange uma maior quantidade de leitores, pois usam formatos conhecidos como HTML e PDF, j que estes formatos so considerados padro de mercado e de indstria (o primeiro, pelo W3C (World Wide Web Consortium) e o segundo uma padronizao isso sob a identificao ISO32000-1:2008) e portanto pode ser lido praticamente em qualquer plataforma atual, desde um robusto PC, Mac at um pequeno telefone celular ou portteis em geral. O contedo do material de fcil entendimento e embora sua ltima reviso seja datada em 2003, o seu contedo est bem atualizado, inteligentemente, o autor usou no documento poucas nomenclaturas de ferramentas e verses, enfatizando apenas os conceitos que devem se apresentar em qualquer sistema, plataforma ou estrutura na qual ser aplicada. Mesmo assim, ainda h recomendaes que poderiam ser atualizadas, sendo recomendvel uma certa ateno do leitor com relao a isso. Por exemplo, no item 4.3.2 (Controle de Alteraes na Configurao) os autores recomendam o uso do RCS ou do CVS, que segundo alguns grupos de usurios e desenvolvedores de projetos FOSS (Free and Open Source Software) so bastante antigos e limitados. Tanto que muitos deles migraram seus sistemas para ferramentas mais modernas tais como o Git usado pelo grupo de desenvolvedores da linguagem Ruby on Rails e pelo projeto de desenvolvimento do Kernel Linux, o projeto X.org, entre inmeros outros. O item 4.13 tambm outro que precisa de atualizao, j que ele aborda o conceito de redes sem fio e no perodo de 2003 at a presente dada o protocolo 802.11 recebeu diversas modificaes que o texto cita vagamente como o protocolo de segurana WPA que uma evoluo do WEP e por isso mais seguro que aquele primeiro e em alguns casos no cita outros recursos, tal com o WPA2 que deveria ser utilizado o quanto antes nas atuais redes desta modalidade, j que a verso WPA teve sua confiabilidade violada. O documento ainda traz uma lista de cerca de vinte fontes de pesquisa para orientar os que precisarem de maiores informaes, seja sobre o assunto de forma genrica, ou especificamente para algumas plataformas e sistemas. Como j mencionado, a organizao do documento bastante interativo, pois conta ainda um ndice remissivo, tornado mais rpida a localizao de assuntos para leituras

impressas, caso o leitor opte por imprimir todo o material para referncia futura. Esse recurso est contido no documento em suas ltimas pginas.

Consideraes Finais Uma importante leitura e posterior aplicao destas boas prticas um bom caminho para auxiliar em um ambiente mais seguro. Para facilitar na aplicao, o CERT tambm elaborou um Checklist com o resumo das recomendaes. (http://www.cert.br/docs/seg-adm-redes/) Para usurios da Internet foi elaborada a "Cartilha de Segurana para Internet" com valiosas informaes. (http://cartilha.cert.br/) O CGI.BR produziu vdeos que explicam de maneira divertida e simples, os perigos de exposio dos usurios, falam sobre o conceito de Spam, alm de dicas para uma navegao mais segura na internet: Navegar Preciso, Os Invasores,Spam, A Defesa. (http://www.antispam.br/videos/) O texto disponibilizado pelo CERT.Br de leitura fcil e bastante esclarecedor, no somente para os iniciantes na rea de administrao de redes, mas tambm para aqueles j experientes e que eventualmente possam precisar relembrar alguns conceitos bsicos de boas prticas. Para todos os efeitos, esta uma iniciativa plausvel, mas notria a necessidade de atualizao em alguns tpicos do texto, visto que a sua ltima edio em 2003 j pode ser considerada suficientemente defasa em alguns tpicos, como j comentado. Por ser distribudo por uma das entidades de maior peso na Internet brasileira algum administrador desatento poderia segui-lo fielmente sem considerar as necessidades de atualizao, o que poderia causar problemas de insegurana em uma rede corporativa.

Bibliografia CERT.Br. Cartilha de Segurana para Internet. Jul. 2007. Disponvel em: <http://cartilha.cert.br/>. Acessado em: 22-03-2009.

CERT.BR. CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil Misso. Jan. 2008. Disponvel em: <http://www.cert.br/missao.html>. Acessado em: 22-03-2009.

Creative Commons. Escolhendo uma licena. Disponvel em: <http://www.creativecommons.org.br/index.php?option=com_content&task=view&id= 22&Itemid=35>. Acessado em: 24-03-2009. Free Software Foundation. GNU Free Documentation License Version 1.3. Jan. 2009. Disponvel em: <http://www.gnu.org/licenses/fdl.html>. Acessado em 23-03-2009.

JACOBS, Ian. About the World Wide Web Consortium (W3C). Abr. 2008. Disponvel em <http://www.w3.org/Consortium/>. Acessado em 28-03-2009.

Free Software Foundation, Inc. Revision Control System (RCS). Disponvel em <http://www.gnu.org/software/rcs/rcs.html>. Acessado em: 28-03-2009.

RAY, Bill. ISO certifies Adobes PDF. Jul. 2008. Disponvel em: <http://www.theregister.co.uk/2008/07/03/pdf_iso_standard/>. Acessado em: 27-032009.