Segurança de Redes e Sistemas

Segurança

de Redes e Sistemas

ISBN 978-85-63630-13-1

9 788563 630131

O aluno aprenderá a implementar uma solução

com-pleta de proteção de redes, utilizando técnicas como

firewall, IDS, IPS e VPN. O amplo escopo de conceitos

abordados permitirá a aplicação das técnicas de

auten-ticação e autorização seguras, auditorias de segurança

e de requisitos de configuração segura de servidores

Linux e Windows. Após o curso, o aluno será capaz de

montar um perímetro seguro, aumentar a segurança

dos servidores da rede, realizar auditorias de segurança

e implantar sistemas de autenticação seguros.

Este livro inclui os roteiros das atividades práticas e o

conteúdo dos slides apresentados em sala de aula,

apoiando profissionais na disseminação deste

conheci-mento em suas organizações ou localidades de origem.

Segurança

de Redes

e Sistemas

LIVRO DE APOIO AO CURSO

Ivo de Carvalho Peixinho

Francisco Marmo da Fonseca

Francisco Marcelo Marques Lima

Ivo de Carvalho Peixinho

Francisco Marmo da Fonseca

Francisco Marcelo Marques Lima

Segurança

de Redes

e Sistemas

Ivo de Carvalho Peixinho

Francisco Marmo da Fonseca

Francisco Marcelo Marques Lima

Rio de Janeiro

Escola Superior de Redes

2013

Segurança

de Redes

e Sistemas

Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103

22290-906 Rio de Janeiro, RJ Diretor Geral

Nelson Simões

Diretor de Serviços e Soluções

José Luiz Ribeiro Filho Escola Superior de Redes

Coordenação

Luiz Coelho

Edição

Pedro Sangirardi

Revisão Técnica

Francisco Marcelo Lima

Coordenação Acadêmica de Segurança e Governança de TI

Edson Kowask

Equipe ESR (em ordem alfabética)

Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Sérgio Souza

Capa, projeto visual e diagramação

Tecnodesign

Versão

2.1.1

Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material.

As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição

Escola Superior de Redes

Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br

info@esr.rnp.br

Dados Internacionais de Catalogação na Publicação (CIP) W380p PEIXINHO, Ivo de Carvalho

Segurança de Redes e Sistemas/ Ivo de Carvalho Peixinho. – Rio de Janeiro: RNP/ESR, 2013. 268 p. : il. ; 27,5 cm.

Bibliografia: p. 251. ISBN 978-85-63630-13-1

1. Planejamento estratégico – Processamento de dados. 2. Sistemas de informação gerencial. 3. Tecnologia da informação – gestão. I. Título.

Sumário

1.

Introdução 1

Exercício de nivelamento 1 – Fundamentos de Segurança 2

Conceitos básicos de segurança 2

Exercício de fixação 1 – Conceitos 6

Processo de Tratamento de Resposta a Incidentes 6

Ciclo de vida de um incidente 7

Grupos de resposta a incidentes 8

Exercício de fixação 2 – Processo de tratamento de incidentes 11

Exercício de fixação 3 – Grupo de resposta a incidentes 11

Normas ISO/ABNT 11

Políticas de segurança 13

Exercício de fixação 4 – Políticas de segurança 15

Planejando uma rede segura 16

Roteiro de Atividades 1 17

Atividade 1 – Exercitando os fundamentos de segurança 17

Atividade 2 – Normas de segurança 17

Atividade 3 – Política de segurança 17

Atividade 4 – Configuração inicial do laboratório prático 18

2.

Introdução 21

Exercício de fixação 1 – Penetration Test 24

Exercício de fixação 2 – Packet sniffing 24

Nmap 24

Exercício de fixação 3 – Nmap 27

Hping 27

Exercício de fixação 3 – IP Spoofing 34

Exercício de fixação 4 – DoS 34

Alguns tipos de ataques 34

Exercício de fixação 5 – Alguns tipos de ataque 37

Roteiro de Atividades 2 45

Atividade 1 – Realizando ataques de protocolos 45

Atividade 2 – Levantando os serviços da máquina alvo com Nmap 46

Atividade 3 – Realizando um ataque com Metasploit 47

Atividade 4 – Realizando um ataque de dicionário com o Medusa 49

3.

Introdução 51

Exercício de nivelamento 1 – Firewall 51

Firewall 52

Tecnologias de firewall 52

Exercício de fixação 1 – Filtros de pacotes 55

Exercício de fixação 2 – Servidores proxy 55

Topologias de firewall 55

Exercício de fixação 3 – Topologias de firewall 58

Exercício de fixação 4 – Screened Subnet 58

Implementação de firewalls 58

Netfilter (Iptables) 58

Implementação do Netfilter 59

Modo de operação do Netfilter 61

Exercício de fixação 5 – Netfilter 63

Controle perimetral  63

Tradução de IP (NAT) 65

Packet Filter (PF)  66

Roteiro de Atividades 3 71

Atividade 1 – Filtros de pacotes 71

Atividade 2 – Topologias de firewall 71

Atividade 3 – Topologias de firewall 72

Atividade 4 – Filtro de pacotes 73

Atividade 5 – Controle de NAT 79

Atividade 6 – Gerenciamento gráfico do Firewall Builder  80

Atividade 7 – Identificando as regras do firewall 80

4.

Introdução 81

Exercício de nivelamento 1 – Serviços básicos de segurança 81

Gerenciamento de logs 81

Syslog-ng 82

Exercício de fixação 1 – Gerenciamento de logs 85

Exercício de fixação 2 – Syslog 85

Logs do Windows 85

Exercício de fixação 3 – Logs do Windows 88

Exercício de fixação 4 – NTP 88

Monitoramento de serviços 89

Avaliação das ferramentas 92

Vantagens do Cacti 93

Roteiro de Atividades 4 95

Atividade 1 – Configuração do servidor de Syslog  95

Atividade 2 – Configuração do servidor de hora 97

Atividade 3 – Monitoramento de serviços 100

5.

Introdução 103

Exercício de nivelamento 1 – Detecção e prevenção de intrusos 103

Sistemas de Detecção de Intrusos (IDS) 103

Exercício de fixação 1 – IDS 105

Sistema de Prevenção de Intrusos (IPS) 105

Sistemas de Detecção de Intrusos em hosts (HIDS) 106

Exercício de fixação 3 – HIDS 107

Snort  107

Instalação do Snort 109

Configuração do Snort 112

Regras do Snort 113

Oinkmaster 114

Guardian: um Snort reativo 115

Snort-inline 115

HIDS 116

Roteiro de Atividades 5 117

Atividade 1 – Configuração básica do Snort 117

Atividade 2 – Atualização de regras 118

Atividade 3 – Bloqueio automático no firewall 119

Atividade 4 – Criando uma regra personalizada do Snort 119

6.

Introdução 121

Exercício de nivelamento 1 – Autenticação e autorização 121

Sistema AAA 121

Exercício de fixação 1 – Sistema AAA 123

Criptografia 123

Criptografia simétrica 124

Criptografia assimétrica 125

Tamanho das chaves 125

Algoritmos Hash 126

Modos de operação de algoritmos criptográficos 127

Exercício de fixação 2 – Criptografia 127

Exercício de fixação 3 – Algoritmos Hash 127

Certificados digitais 128

Obtendo certificado de usuário 128

Revogando o certificado do usuário 129

Exercício de fixação 4 – Certificados digitais 129

Gerenciamento de senhas 129

Valor do SALT 131

Exercício de fixação 5 – Sistema de senhas Linux 132

Exercício de fixação 6 – SALT 132

Sistema de senhas Windows 132

Administrando as senhas 133

Exercício de fixação 7 – Sistema de senhas no Windows 134

Sistemas de Autenticação Única 134

OTP 134

S/Key 134

Smart Card 135

Servidores de diretório: LDAP 136

Serviço de diretório 136

Exercício de fixação 8 – LDAP 137

Exercício de fixação 9 – Serviço de diretórios 137

Tipos de informação 137

Protocolo Kerberos  137

Acesso a serviços em uma rede 140

Benefícios do Kerberos 140

Organização do Kerberos 141

Exercício de fixação 10 – Kerberos 141

Certificação digital 142

Trilhas de auditoria  142

Geração dos dados 142

Roteiro de Atividades 6 145

Atividade 1 – Utilização do sistema OTP S/Key 145

Atividade 2 – Configurando o serviço de autenticação Kerberos no Windows 2008 146

Atividade 3 – Uso do Cain & Abel para avaliar a segurança do sistema de autenticação 147

7.

Introdução 151

Exercício de nivelamento 1 – Redes Privadas Virtuais 151

VPN 151

Objetivos de uma VPN 152

VPN PPTP 153

L2TP  153

Exercício de fixação 2 – IPSec 156

Modos de operação do IPSec 156

Protocolos IPSec 157

Exercício de fixação 3 – IPSec 159

VPN SSL 159

Exercício de fixação 4 – VPN SSL 160

Implementação IPSec no Linux 160

Instalação do Openswan 160 Configuração do Openswan 162 Implementação de VPN SSL no Linux 164 Instalação do OpenVPN 165 Configuração do OpenVPN 166 Roteiro de Atividades 7 169 Atividade 1 – VPN IPSec 169 Atividade 2 – VPN SSL 171

Atividade 3 – Servidor VPN SSL para múltiplos clientes 176

8.

Introdução 181

Exercício de nivelamento 1 – Auditoria de Segurança da Informação 181

Análise de vulnerabilidades 182

Exercício de fixação 1 – Análise de vulnerabilidades 183

Instalação do Nessus 183

Auditoria com o Nessus 184

Exemplo de auditoria em firewall 187

Arquitetura do firewall 187

Testando o firewall 187

Testando as regras do firewall 188

Exercício de fixação 2 – Arquitetura do firewall 192

Exercício de fixação 3 – Testando o firewall 192

Alertas e registros 192

Roteiro de Atividades 8 195

Atividade 1 – Auditoria com Nessus 195

Atividade 2 – Auditoria sem filtros de pacotes 196

Atividade 4 – Exemplo de auditoria 196

Atividade 5 – Utilizando o Nikto 197

Atividade 6 – Utilizando o Xprobe 197

Atividade 7 – Utilizando o THC-Amap 198

9.

Introdução 199

Exercício de nivelamento 1 – Configuração segura de servidores Windows 199

Necessidade de configuração de um bastion host 200

Exercício de fixação 1 – Bastion host 200

Check-list 200

Configuração de filtros de pacotes 201

Exercício de fixação 2 – Configuração de filtros de pacotes 204

Criação de uma linha base de segurança (baseline) 204

Desabilitando serviços desnecessários 204

Exercício de fixação 3 – Baseline 207

Ferramentas de análise da segurança do Windows 207

WMIC 208

SYSInternals 208

WSUS 210

MBSA  210

Microsoft Security Compliance Manager 211

Exercício de fixação 4 – Microsoft Security Compliance Manager 214

Sistemas de arquivos e gerenciamento de usuários 214

Group Policy Objects 215

Exercício de fixação 5 – Group Policy Objects (GPO) 217

Políticas de usuários e de computador 217

Heranças de GPO 218

Diretivas de segurança local 219

Diretiva de senhas 219

Diretiva de auditoria 220

Atribuição de direitos de usuários 222

Opções de segurança 222

Roteiro de Atividades 9 225

Atividade 2 – Auditoria 226

Atividade 3 – Envio de log para servidor remoto 227

Atividade 4 – Controle de acesso ao sistema operacional 228

10.

Introdução 229

Exercício de nivelamento 1 – Configuração segura de servidores Linux 230

Instalação do Linux 230

Desabilitando serviços desnecessários 231

Exercício de fixação 1 – Desabilitando serviços desnecessários 234

Pacotes e programas 234

Configuração segura de serviços 236

Exercício de fixação 2 – Configuração segura de serviços 237

Acessos administrativos 237

Exercício de fixação 3 – Acessos administrativos 239

Atualização do sistema operacional 239

Pacotes compilados 240

Sistema de arquivos proc 240

Roteiro de Atividades 10 243

Atividade 1 – Configuração segura de servidor 243

Atividade 2 – Auditoria 250

Atividade 3 – Ferramentas e mecanismos para monitoramento 250

Atividade 4 – Ferramentas de segurança 250

A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunicação (TIC).

A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicáveis ao uso eficaz e eficiente das TIC.

A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Pro-jeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI.

A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos educacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um con-junto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).

A metodologia da ESR

A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típi-cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-blema, em abordagem orientada ao desenvolvimento de competências.

Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente.

As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atuação do futuro especialista que se pretende formar.

As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir:

Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos).

O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem.

Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos).

Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assín-crona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares.

Terceira etapa: discussão das atividades realizadas (30 minutos).

O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.

Sobre o curso

O aluno aprenderá sobre perímetros de segurança, através da implementação de uma solução completa de proteção de redes, utilizando técnicas como firewall, IDS, IPS e VPN. O amplo escopo de conceitos abordados permitirá a aplicação das técnicas seguras de autenticação e autorização, auditorias de segurança e requisitos de configuração de servi-dores Linux e Windows. Após o curso, o aluno será capaz de montar um perímetro seguro, aumentar a segurança dos servidores da rede, realizar auditorias de segurança e implantar sistemas de autenticação seguros.

A quem se destina

Profissionais de TI que desejam adquirir ou atualizar os seus conhecimentos sobre segurança de redes e sistemas a fim de garantir melhor aplicabilidade das práticas de segurança da informação em suas organizações.

Convenções utilizadas neste livro

As seguintes convenções tipográficas são usadas neste livro:

Itálico

Largura constante

Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos.

Conteúdo de slide

Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. Símbolo

Indica referência complementar disponível em site ou página na internet. Símbolo

Indica um documento como referência complementar. Símbolo

Indica um vídeo como referência complementar. Símbolo

Indica um arquivo de aúdio como referência complementar. Símbolo

Indica um aviso ou precaução a ser considerada. Símbolo

Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão.

Símbolo

Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação.

Permissões de uso

Todos os direitos reservados à RNP.

Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: PEIXINHO, Ivo. Segurança de Redes e Sistemas. Rio de Janeiro: Escola Superior de Redes, 2013.

Comentários e perguntas

Para enviar comentários e perguntas sobre esta publicação:

Escola Superior de Redes RNP

Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906

Sobre os autores

Ivo de Carvalho Peixinho é Bacharel em Ciência da Computação pela UFBA e Especialista

em Gestão de Segurança da Informação pela UnB. Possui mais de 15 anos de experiência na área de Segurança da Informação. Foi Diretor Técnico na XSite Consultoria e Tecnologia, Analista de Suporte na Universidade Federal da Bahia. Em 2004 atuou como Analista de Segurança Sênior no CAIS/RNP por dois anos e atualmente é Perito Criminal Federal do Departamento de Polícia Federal desde 2007, lotado atualmente no Serviço de Repressão a Crimes Cibernéticos - SRCC/CGPFAZ/DICOR/DPF. É professor de pós-graduação nas discipli-nas de Análise Forense em Sistemas UNIX e Análise de Malware e é palestrante em diversos eventos nacionais e internacionais como GTS, Seginfo, CNASI, ICCyber e FIRST.

Francisco Marmo da Fonseca é bacharel em Engenharia da Computação pelo Instituto de

Educação Superior de Brasília e pós-graduando em Perícia Digital pela Universidade Cató-lica de Brasília. Iniciou sua atuação em Redes como bolsista pesquisador do Projeto de Pes-quisa REMAV-GO (1997-1999), financiado pela RNP e CNPq. Possui 14 anos de experiência na área de Redes de Computadores, atua como engenheiro consultor de Redes há 5 anos, sendo os últimos 3 anos na Layer2 do Brasil em clientes como Departamento de Polícia Federal, IG e Oi. Tem passagens pela Serasa (2006-2008) como consultor no Banco Central na Rede do Sistema Financeiro Nacional, e na Brasil Telecom (2002-2007) como analista de Operações de Redes IP.

Francisco Marcelo Marques Lima é certificado Project Management Professional (PMP) e

Modulo Certified Security Officer (MCSO), Mestre em Engenharia Elétrica pela Universidade de Brasília (2009), Mestre em Liderança pela Universidade de Santo Amaro (2007) e pós--graduado em Segurança de Redes de Computadores pela Universidade Católica de Brasília (2003). Atualmente exerce as funções de Coordenador dos Cursos de Redes de Computa-dores e Segurança da Informação do IESB e Analista em TI do MPOG cedido para a Contro-ladoria-Geral da União/PR. Atua, também, como instrutor/revisor dos cursos de segurança e redes na RNP e instrutor/revisor dos cursos de planejamento estratégico (PDTI) e gestão de contratos de TI (GCTI) na ENAP. Possui mais de 15 anos de experiência na área de Ciência da Computação com ênfase em Segurança da Informação, Redes e Construção de Software tendo exercido funções como: Coordenador Geral de TI do INCRA (DAS 4); Coordenador do Curso de Segurança da Informação da Faculdade Rogacionista; Coordenador do Curso de Processamento de Dados e Segurança da Informação da Faculdade AD1, Analista em Segurança da empresa Módulo Security Solutions.

Edson Kowask Bezerra é profissional da área de segurança da informação e governança

há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informa-ção, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como pales-trante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, de inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes.

Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça

obj

et

ivo

s

co

nc

ei

to

s

1

Fundamentos de segurança

Apresentar ao aluno fundamentos de segurança como estratégias, estágios do ciclo de vida de incidentes, grupos de resposta a incidentes e normas de políticas de segurança.

Confidencialidade, integridade, disponibilidade, autenticidade, legalidade, não repúdio e privacidade, entre outros.

Introdução

A Segurança da Informação (SI) é uma área em constante evolução, que se desenvolveu muito nos últimos anos, com a criação de normas e certificações internacionais e aumento expres-sivo no número de profissionais dedicados. O profissional que pretende atuar nessa área deve estar ciente de que ela é bastante dinâmica e envolve diversos setores da computação, como programação e desenvolvimento de sistemas, redes de computadores, sistemas operacionais e bancos de dados, entre outras. Quanto mais conhecimento o profissional de SI possuir, mais capacidade terá de desempenhar seu papel. Apesar de todos esses avanços, a SI ainda é uma área nova, e a cada dia novas subáreas e conceitos são descobertos e incorporados.

Para este curso, considera-se que o aluno completou o curso de Introdução à Segurança de Redes e já possui uma noção sobre segurança de redes, incluindo a família de protocolos TCP/IP, além de noções de administração de servidores Linux e Windows. Este curso terá enfoque mais prático, com foco na área de redes e sistemas operacionais. Ao final do curso, o aluno deve ser capaz de compreender e utilizar os conceitos e ferramentas de segurança de redes, de modo a projetar e configurar uma rede com um nível de segurança aceitável, além de ser capaz de aumentar o nível de segurança dos sistemas operacionais mais utilizados no mercado, através de configurações mais seguras dos sistemas e serviços destes sistemas operacionais. Por fim, é importante que o aluno tenha consciência de que este é um curso prático e progressivo, com atividades práticas fundamentais e interdependentes, de modo que uma atividade de um capítulo é pré-requisito para as atividades dos capítulos seguintes. O aluno deve investir nas atividades práticas para finalizá-las completamente, caso contrário poderá não obter o aproveitamento desejado.

Se gu ra nç a d e R ed es e S is te m as

Exercício de nivelamento 1

e

Fundamentos de Segurança

O que você entende por segurança da informação?

Como sua organização trata a área de segurança da informação?

Conceitos básicos de segurança

O profissional de segurança deve ter sempre em mente alguns conceitos básicos, que nortearão o seu trabalho no dia a dia. Ele deve pensar de forma diferente do tradicional, pois para ele não é suficiente apenas o recurso ou serviço estar funcionando: é preciso estar funcionando de forma segura. Podemos citar como exemplo o desenvolvimento de uma aplicação web. Neste exemplo dispomos de diversos componentes que devem funcionar de forma integrada. Podemos citar então:

q

1 Servidores físicos (hardware). 1 Sistemas operacionais dos servidores. 1 Servidor de aplicação.

1 Servidor HTTP. 1 Aplicação web.

1 Servidor de banco de dados.

1 Segurança do hardware dos servidores. 1 Segurança do sistema operacional.

1 Segurança da aplicação através de testes de penetração. 1 Segurança da rede de comunicação.

Aqui estamos tratando de um exemplo didático, pois uma aplicação comercial em produção poderá ter outros componentes, como redundância, sistemas de gerenciamento, sistemas de avaliação de desempenho das aplicações e ambientes de virtualização, entre outros. Para o desenvolvedor, a preocupação maior é com o bom funcionamento da aplicação. Hoje existem alguns padrões de desenvolvimento seguro, boas práticas e informações sobre os problemas de segurança mais comuns desse tipo de aplicação. Porém, o desenvolvedor nor-malmente possui prazos a cumprir e nem sempre possui experiência suficiente no desen-volvimento de código seguro. A equipe de suporte possui a preocupação de alocar recursos suficientes para a operação da aplicação, de acordo com a carga esperada. A equipe de homologação e testes muitas vezes está apenas preocupada com o bom funcionamento da aplicação em condições normais de operação. O profissional de segurança, por outro lado, está preocupado com a segurança da aplicação, o que envolve a segurança de cada um dos componentes envolvidos:

1 Segurança do hardware dos servidores, com garantia de fornecimento de energia através de fontes redundantes, nobreaks, geradores e até servidores redundantes.

Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça

1 Segurança do sistema operacional, do servidor de aplicação e do servidor web, através da configuração segura, retirada de serviços desnecessários, aplicação das últimas corre-ções de segurança do fabricante, filtragem de portas desnecessárias, entre outros. 1 Segurança da aplicação através de testes de penetração, avaliação das possíveis

vulnera-bilidades, análise do código, entre outros.

1 Segurança da rede de comunicação, com avaliação da possibilidade de ataques de negação de serviço pela rede, ataques a protocolos, entre outros.

q

O profissional de segurança deve ter uma formação diversificada: 1 Segurança de redes wireless.

1 Testes de invasão (pentest). 1 Análise forense computacional. 1 Tratamento de incidentes de segurança. 1 Desenvolvimento de aplicações seguras. 1 Segurança de aplicações.

O profissional de segurança deve ter profundo conhecimento em questões de segurança física de computadores, segurança de sistemas operacionais, serviços e aplicações web, atuando com responsabilidade e sempre buscando níveis mais profundos de conhecimento. Atualmente, com o aumento da complexidade dos sistemas de informação, está cada vez mais difícil um único profissional abranger todo esse conhecimento, de forma que começam a surgir profissionais especializados em determinadas áreas da segurança. Áreas como segurança de redes wireless, testes de invasão (pentest), análise forense computacional, tra-tamento de incidentes de segurança e desenvolvimento de aplicações seguras são apenas alguns exemplos de especializações encontradas no mercado nos dias de hoje.

Entre os conhecimentos que um profissional de segurança deve possuir, talvez o conceito mais básico corresponda à sigla CID (Confidencialidade, Integridade e Disponibilidade), que é derivada do inglês CIA (Confidentiality, Integrity and Availability). Ela é o pilar de toda a área de SI, de modo que um incidente de segurança é caracterizado quando uma dessas áreas é

afetada. A seguir, veremos em detalhes cada um desses itens.

q

Fundamentos de segurança: 1 Confidencialidade. 1 Integridade. 1 Disponibilidade.

A Confidencialidade é um termo diretamente ligado à privacidade de um recurso. Um

recurso deve estar acessível apenas para a pessoa ou grupo que foi definido como usuário autorizado para dispor daquele acesso, e nenhum outro. Por exemplo, as notas de um aluno devem ser acessadas somente pelo aluno, pelos professores das disciplinas cursadas por ele e pela equipe de registro acadêmico.

O termo Integridade possui duas definições: a primeira relacionada com o fato da

infor-mação ter valor correto; por exemplo, no resultado da correção de uma prova, a nota obtida foi avaliada por um professor com conhecimento da disciplina, e portanto apto para julgar o conteúdo. A segunda definição está ligada à inviolabilidade da informação, ou seja, a nota não pode ser alterada sem justificativa e por meio controlado. A nota não pode “sumir” ou ser simplesmente alterada.

Incidente de segurança

Pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacio-nado à segurança de sistemas de compu-tação ou de redes de

Se gu ra nç a d e R ed es e S is te m as

O termo Disponibilidade está relacionado ao acesso à informação, que pode ser

contro-lada ou não, e disponível quando necessária. Um ataque de negação de serviço pode, por exemplo, evitar o acesso à informação, afetando a disponibilidade.

É importante notar que a disponibilidade e a integridade podem ser medidas de forma simples, visto que elas são perceptíveis pelos usuários da informação. A confi-dencialidade, por outro lado, pode ser quebrada sem que se tenha conhecimento do fato, pois a simples visualização de uma informação por um usuário não autorizado não necessariamente altera essa informação. Daí a importância da auditoria, onde são analisados os registros de acesso de determinada informação, com o objetivo de verificar se houve acesso indevido. A auditoria será tratada no capítulo 8.

Observe, ainda, que existem três dimensões completamente distintas: duas delas, a confidencialidade e a integridade, são valores boolianos: ou a informação se manteve confidencial ou não; ou a informação se manteve íntegra ou não. A terceira é um número real entre 0 e 1, podendo ser calculada pela própria definição. Duas podem ser monito-radas e medidas: a integridade e a disponibilidade. Não temos como saber se um dado perdeu confidencialidade.

q

A literatura moderna inclui ainda mais alguns conceitos, que muitas vezes são considerados auxiliares aos três já listados. São eles:

1 Autenticidade: garantia de que uma informação, produto ou documento foi elaborado ou distribuído pelo autor a quem se atribui.

1 Legalidade: garantia de que ações sejam realizadas em conformidade com os preceitos legais vigentes e que seus produtos tenham validade jurídica.

1 Não repúdio: conceito muito utilizado quando tratamos de certificação digital, onde o emissor de uma mensagem não pode negar que a enviou. As tecnologias de certificação digital e assinatura digital são exemplos que propiciam essa condição.

1 Privacidade: conceito amplo, que expressa a habilidade de um indivíduo em controlar a exposição e a disponibilidade de informações acerca de si. Com o crescimento dos meca-nismos de busca, bancos de dados e informações publicadas na internet e redes sociais, esse conceito tem sido muito discutido em fóruns específicos. Um exercício interessante que o aluno pode realizar é buscar o seu próprio nome no site de buscas do Google.

É comum nos referirmos a esse conjunto de conceitos básicos como CID ou CIDAL, que corresponde às iniciais de alguns dos conceitos apresentados. A sigla DICA ainda é usada em referência aos quatro primeiros conceitos.

Além dos conceitos apresentados acima, o livro Building Internet Firewalls, de Elizabeth D. Zwicky, Simon Cooper e D. Brent Chapman (editora O’Reilly), define ainda outros conceitos, denominados de estratégias de segurança.

Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça

q

1 Least Privilege (Menor Privilégio).

1 Defense in Depth (Defesa em Profundidade). 1 Choke Point (Ponto Único).

1 Default Deny & default Permit Stance (Atitude de Bloqueio Padrão e Permissão Padrão). 1 Universal Participation (Participação Universal).

1 Diversity of Defense (Diversidade de Defesa). 1 Inherent Weakness (Fraquezas Inerentes). 1 Common configuration(Configuração Comum). 1 Common Heritage (Herança Comum).

1 Weakest Link (Elo mais Fraco). 1 Fail Safe (Falha Segura). 1 Simplicity (Simplicidade).

Esses conceitos são muito importantes, e o profissional de segurança deve sempre tê-los em mente no seu dia a dia:

1 Least Privilege (Menor Privilégio): cada objeto deve ter apenas os privilégios mínimos para executar suas tarefas, e nenhum outro. Apesar de muito importante, é difícil aplicar esse conceito, pois muitas vezes ele envolve uma série de ajustes e um mínimo erro pode fazer com que o recurso pare de funcionar. Como exemplo, podemos citar um servidor web. Executar o processo do servidor como o usuário administrador provavel-mente fornecerá uma série de privilégios desnecessários a ele. Nesse caso, convém criar um usuário específico (ex: httpd) e definir as permissões mínimas para que o serviço funcione. Por exemplo: permissão de leitura na pasta onde ficam as páginas HTML e per-missão de leitura e gravação na pasta onde ficam os registros de acesso.

1 Defense In Depth (Defesa em Profundidade): não depender de um único mecanismo de segurança, independente do quão forte ele possa parecer. Não existe nenhum meca-nismo 100% seguro, então qualquer mecameca-nismo pode ser subvertido. Colocar defesas redundantes pode ser uma boa estratégia, pois um atacante, ao passar por suas defesas mais externas, ainda terá outras camadas de defesa para ultrapassar antes de compro-meter o sistema como um todo.

1 Choke Point (Ponto Único): canal estreito por onde os atacantes são forçados a passar, que pode ser monitorado e controlado. Exemplos: praça de pedágio em uma estrada, caixa de supermercado. Esse é o princípio utilizado pelos firewalls.

1 Default Deny e Default Permit Stance (Atitude de Bloqueio Padrão e Permissão Padrão): atitude geral em relação à segurança. Na primeira (mais segura), tudo é proibido e o que é permitido deve ser expressamente definido. Na segunda, tudo é permitido e o que é proibido deve ser definido. Em sistemas seguros, deve-se buscar sempre a primeira atitude (Default Deny), apesar de nem sempre ser possível. Para o caso do acesso à internet por um nave-gador, seria viável bloquear toda a internet e liberar apenas o que é permitido?

1 Universal Participation (Participação Universal): todos devem participar do processo de segurança. Uma única pessoa que não participa do processo pode comprometer todo o sistema. É importante lembrar que a segurança envolve pessoas, e que elas devem estar envolvidas, motivadas e participando do processo.

Se gu ra nç a d e R ed es e S is te m as

1 Inherent Weaknesses (Fraquezas Inerentes): sistemas de um mesmo tipo podem sofrer da mesma fraqueza inerente a esse tipo de sistema. Exemplos: falha de conceito ou falha de um protocolo com implementação comum.

1 Common Configuration (Configuração Comum): sistemas diferentes configurados por uma mesma pessoa ou grupo podem sofrer de problemas semelhantes de configuração. 1 Common Heritage (Herança Comum): sistemas de fabricantes diferentes podem usar

componentes comuns e consequentemente terem as mesmas falhas.

1 Weakest Link (Elo Mais Fraco): corresponde ao ponto mais fraco das suas defesas. As suas defesas são tão fortes quanto o ponto mais fraco. Este deve ser eliminado quando possível, ou ser forte o suficiente para desencorajar ataques. Muitos atacantes vão pro-curar o ponto mais fraco da sua rede, tentando atacar a rede a partir dele. Pontos fracos da rede devem ser constantemente monitorados quando não puderem ser eliminados. 1 Fail Safe (Falha Segura): os sistemas, em caso de falha, devem sempre fazê-lo de modo

a inibir qualquer tipo de acesso. O prejuízo da falta de acesso é preferível ao acesso libe-rado de forma irrestrita em caso de falha.

1 Simplicity (Simplicidade): manter o ambiente simples. A complexidade esconde poten-ciais problemas de segurança. Interfaces gráficas, gerenciadores centralizados e sistemas com configurações simples são alguns exemplos desse princípio. Porém, deve-se tomar cuidado com o excesso de simplicidade. Um simples botão na ferramenta com os dizeres “torne meu sistema seguro” pode não ser adequado. Os sistemas devem ter um mínimo de parametrização, pois cada ambiente possui suas peculiaridades.

Exercício de fixação 1

e

Conceitos

Explique com suas palavras o que é Defesa em Profundidade e como ela pode ser aplicada em sua organização.

O que é o Elo mais Fraco? Dê um exemplo na sua organização.

Processo de Tratamento de Resposta a Incidentes

De acordo com o Cert.br, um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de com-putação ou de redes de computadores. Em geral, toda situação na qual uma entidade de informação corre riscos pode ser considerada um incidente de segurança. No entanto, cada organização deve definir o que, em relação aos seus sistemas, para ela pode vir a ser um incidente de segurança. Em alguns casos, organizações podem classificar como incidentes de segurança qualquer ato que possa não estar em conformidade com a política de segu-rança adotada pela instituição.

Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça

Todo incidente ocorrido na organização deve ser tratado de acordo com uma metodologia definida previamente. Assim, para atender ao processo de resposta a incidentes de segu-rança a organização deve elaborar uma metodologia visando gerenciar consequências de uma quebra de segurança. Seu principal objetivo é minimizar o impacto causado por um incidente e possibilitar o restabelecimento dos serviços no mais curto espaço de tempo possível. O fenômeno de ataques na internet não é um fato novo: no fim da década de 80 o incidente conhecido como “Internet Worm” resultou em um incidente que paralisou centenas de sistemas na internet. Após esse problema, alguns grupos se reuniram para discutir os rumos da segurança na internet. Essa reunião resultou, mais tarde, na criação do CERT Coordination Center (Center of Emergency Response Team). Um Centro de Resposta a Incidentes, o CERT foi uma das primeiras organizações do tipo CSIRT (Computer Security Incident Response Team). Com o crescimento da internet, em meados de 1996, esses ataques provocam prejuízos que vão desde a perda de milhares de dólares até o que ocorreu há alguns anos na Europa, onde de acordo com a agência de notícias Reuters, a internet em um país parou de funcionar após ataques. Conforme informado pela IFCC (Internet Fraud Complaint Center ), uma parceria entre o FBI e o Centro Nacional de Crimes do Colarinho Branco dos Estados Unidos, entre maio de 2000 e maio de 2001, em seu primeiro ano de funcionamento, foram registrados 30.503 casos de fraudes na internet, registros colhidos apenas no site da IFCC.

Segundo o Cert.br, um CSIRT, ou Grupo de Resposta a Incidentes de Segurança, é uma orga-nização responsável por receber, analisar e responder a notificações e atividades relacio-nadas a incidentes de segurança em computadores. Normalmente, um grupo de resposta a incidentes pode ser um grupo dentro da própria instituição trabalhando exclusivamente para a resposta a incidentes dos serviços prestados pela empresa ou pode trabalhar na forma de comunidade, auxiliando várias instituições e produzindo estatísticas e relatórios que beneficiam todo um grupo ou mesmo um país (Cert.br 2007).

Um CSIRT pode agir de várias maneiras dentro da empresa, de acordo com a importância de seus serviços. Um grupo pode estar ligado diretamente à alta administração da empresa, de maneira que possa intervir e alterar os processos da instituição, mas também pode agir apenas como orientador de processos, não estando diretamente envolvido com a tomada de decisões de segurança (CSIRT Handbook 2003).

Ataques a sistemas computacionais visam comprometer os requisitos de segurança de uma organização. Esses ataques têm dois tipos de perfil: ativo, onde o atacante faz alguma ação para obter o resultado esperado, e passivo, onde o atacante utiliza-se de ferramentas para obter os dados referentes ao alvo. De acordo com o Cert.br, um CSIRT pode exercer tanto funções reativas quanto funções proativas para auxiliar na proteção e segurança dos recursos críticos de uma organização. Não existe um conjunto padronizado de funções ou serviços providos por um CSIRT. Cada time escolhe seus serviços com base nas necessi-dades da sua organização e da comunidade a quem ele atende.

Ciclo de vida de um incidente

q

1 Estágio 1 – Preparação dos Processos. 1 Estágio 2 – Gerenciamento de riscos. 1 Estágio 3 – Triagem.

Se gu ra nç a d e R ed es e S is te m as

A segurança de uma organização sempre estará sujeita a incidentes, como todas as outras áreas. Os fatores são os mais diversos, desde ameaças não intencionais causadas por usuá-rios comuns até ameaças técnicas organizadas. Para uma organização é de vital importância que os incidentes sejam tratados corretamente, e para isso se faz necessário entender como funciona o ciclo de vida de um incidente.

De acordo com o Instituto de Engenharia de Software da Carnegie Mellon University, responsável pelo Cert.org, podemos classificar o ciclo de vida de um incidente em quatro estágios (CSIRT Handbook 2003), conforme veremos a seguir.

Estágio 1 – Preparação dos processos

O início do ciclo de vida de um incidente começa antes do próprio incidente. É necessária a elaboração de processos e procedimentos para a correta ação empregada contra ameaças e vulnerabilidades possíveis à organização. É importante que todos os processos empregados sejam testados e aperfeiçoados. Esses processos têm por finalidade o correto emprego dos recursos para a resposta a incidentes.

Estágio 2 – Gerenciamento de riscos

Por meio de ações corretivas e preventivas de ameaças existentes, pois estas são um fator intrínseco dentro de uma organização. O gerenciamento de riscos é muito importante e deve ser um processo contínuo dentro de uma organização, desenvolvendo medidas de segurança e calculando seu impacto para cada uma das etapas de um ciclo de incidentes.

Estágio 3 – Triagem

O método de recepção de todo e qualquer indício de incidente é de suma importância, pois é com uma correta triagem da informação que se inicia todo o processo de catalogação e resposta ao incidente. Os grupos de resposta a incidentes comumente informam apenas um meio de contato ou “hotline”, seja para um grupo de resposta de âmbito nacional, privado ou mesmo dentro da organização. Essa triagem é importante para a aplicação correta do controle de segurança da informação impactado pelo incidente. Normalmente, esse con-trole também é atribuído a um gerente de incidente, profissional especializado no problema que estará à frente do incidente até a sua resolução.

Estágio 4 – Resposta a incidentes

Quando um incidente já passou pela triagem, ele é submetido ao plano de resposta a incidentes da organização. Nesse ponto, atividades anômalas são facilmente detectadas e a adoção de medidas apropriadas pode rapidamente identificar sistemas afetados, dimensio-nando o montante do prejuízo.

Grupos de resposta a incidentes

q

Prevenção:

1 Auditoria de segurança.

1 Treinamento e orientação a usuários.

1 Disseminação de informação relacionada à segurança. 1 Monitoração de novas tecnologias.

Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça

q

1 Análise de riscos.

1 Planejamento e recuperação de desastres.

O maior desafio para os profissionais de segurança dos dias atuais é a gestão de uma complexa infraestrutura de comunicação de dados da internet, seu gerenciamento e manutenção. Na maioria das organizações, as equipes de profissionais em rede não contam com pessoal em quantidade suficiente para atender à demanda crescente de otimização de sistemas, atualização incessante de programas para minimizar riscos e defender-se contra ataques dos mais variados tipos. Esse cenário se torna pior à medida que surgem novas ferramentas de ataques, malwares, toolkits e a crescente organização de grupos que visam à paralisação e o roubo de dados na rede mundial de computadores.Nesse contexto, e para atender à necessidade de resposta a incidentes, surgem os grupos de resposta a incidentes, cujo objetivo é responder de maneira rápida e efetiva a essas ameaças. Esse grupo tem como objetivo desenvolver meios para identificar, analisar e responder a incidentes que venham a ocorrer, minimizando prejuízos e reduzindo seus custos de recuperação.

Os grupos de resposta a incidentes geralmente trabalham em duas frentes, prevenção e resposta.

Prevenção

Caracterizam-se como serviços proativos os serviços onde o grupo procura se antecipar aos problemas de maneira a preveni-los, gerando uma base de conhecimento para futura pes-quisa. Dentre as principais atividades de prevenção destacam-se a auditoria de segurança e o treinamento e orientação a usuários.

Auditoria de segurança

A auditoria de segurança dentro de uma empresa visa submeter seus ativos a uma análise de segurança com base nos requisitos definidos pela organização ou por normas internacio-nais. Também pode implicar na revisão das práticas organizacionais da empresa bem como testes em toda a sua infraestrutura. Nos dois últimos módulos deste treinamento, será abordado o processo de hardening para servidores Linux e Windows. Uma vez aprovado um processo de hardening, este pode ser utilizado para auditar a segurança de um ambiente, já que nesse documento encontra-se a configuração mínima recomendada para um ativo.

Treinamento e orientação a usuários

Uma das funções de um CSIRT também é a promoção de palestras e workshops sobre segu-rança dentro de uma organização. Essas palestras têm o intuito de informar aos usuários as políticas de seguranças vigentes e como se proteger de vários ataques, principalmente de engenharia reversa.

Disseminação de informação relacionada à segurança

A disseminação de informação é primordial para o sucesso de um grupo de resposta a incidentes. Essa disseminação pode ocorrer tanto dentro da organização, através de docu-mentos e boletins internos, como com a confecção de artigos para distribuição para outros

Se gu ra nç a d e R ed es e S is te m as

Monitoração de novas tecnologias

Um Grupo de Resposta a Incidentes monitora novos desenvolvimentos técnicos de ataques para ajudar a identificar novas tendências de futuras ameaças. Esse serviço envolve a leitura de fóruns e listas de discussão, sites e revistas especializadas.

Resposta

Os serviços reativos englobam atividades que são realizadas após algum evento ou requi-sição dentro da organização. Baseiam-se em análises de logs e produção de relatórios em função de alguma detecção de atividade maliciosa. Dentre as principais atividades de res-posta a incidentes, podemos destacar as seguintes.

Tratamento de incidentes

Segundo Chuvakin e Peikari, autores do livro Security Warrior, uma reposta a incidente é um processo de identificação, contenção, erradicação e recuperação de um incidente de compu-tador, realizado pelo time de segurança responsável.

O tratamento de incidentes é a principal atividade de um time de resposta a incidentes. São os incidentes que vão gerar todo o processo de identificação, classificação e tomada de decisão sobre quais procedimentos tomar para sanar o problema, quantas vezes o problema foi constatado dentro de um período, qual o impacto causado pelo incidente e se este obteve ou não sucesso.

Tratamento de vulnerabilidades

O tratamento de vulnerabilidades visa submeter os sistemas a uma auditoria a fim de saber quais suas fraquezas e como preveni-las através de mitigação de alguns serviços.

Essa metodologia está diretamente ligada à criação do plano de continuidade de negócios dentro de uma organização, pois, através das avaliações feitas, é possível fazer uma análise de risco e impacto para as vulnerabilidades encontradas.

Qualidade de serviços de segurança

A qualidade dos serviços de segurança proporciona aumento na experiência adquirida na prestação de serviços proativos e reativos descritos acima. Esses serviços são concebidos para incorporar os feedbacks e as lições aprendidas com base no conhecimento adquirido por responder a incidentes, vulnerabilidades e ataques.

Parte de um processo de gestão da qualidade da segurança pode melhorar a segurança a longo prazo, gerando base dados de incidentes e suas propostas para solução.

Consultoria em segurança

Um CSIRT pode ser utilizado para fornecer aconselhamento sobre as melhores práticas de segurança, principalmente dentro de um ambiente militar. Esse serviço pode ser utilizado na preparação de recomendações ou identificando requisitos para a aquisição, instalação ou obtenção de novos sistemas, dispositivos de rede, aplicações de software ou criação de pro-cessos. Esse serviço inclui proporcionar orientação e ajuda no desenvolvimento organiza-cional ou no círculo de políticas de segurança. Ele pode também envolver o aconselhamento às normas legais legislativas ou de outros órgãos governamentais.

Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça Análise de riscos

Um Grupo de Resposta a Incidentes pode ser capaz de acrescentar valor à análise de risco e avaliações. Isso pode melhorar a capacidade da organização para avaliar ameaças reais, fornecer avaliações qualitativas e quantitativas dos riscos para os ativos da organização e avaliar estratégias para melhor defesa.

Planejamento e recuperação de desastres

Com base em ocorrências anteriores e futuras previsões de tendências emergentes de inci-dentes de segurança, pode-se afirmar que quanto mais os sistemas de informação evoluem, mais aumenta a chance de acontecer um incidente. Por isso, o planejamento deve consi-derar os esforços e experiências passadas de um CSIRT.

Recomendações para determinar a melhor forma de responder a esses incidentes para garantir a continuidade das operações comerciais devem ser uma prioridade para a orga-nização. Grupos realizando esse serviço estão envolvidos em continuidade de negócios e recuperação de desastres, planejamento de eventos relacionados com a segurança informá-tica e ameaças ataques.

Fonte: CAIS RNP

Exercício de fixação 2

e

Processo de tratamento de incidentes

Explique os estágios do ciclo de vida de um incidente.

Exercício de fixação 3

e

Grupo de resposta a incidentes

O que é prevenção e como ela é feita na sua organização?

Normas ISO/ABNT

q

Histórico: BSI e ISO

1 ABNT NBR ISO/IEC 27001:2006 (SGSI) – passível de certificação. 1 ABNT NBR ISO/IEC 27002:2005 (código de prática).

1 ABNT NBR ISO/IEC 27005:2008 (gestão de riscos). 1 ABNT NBR ISO/IEC 27011:2009 (telecomunicações).

Um dos primeiros documentos criados para fins de normatização em meios computacionais foi o Security Control for Computers Systems, publicado em 11 de fevereiro de 1970 pela RAND Corporation, uma empresa norte-americana sem fins lucrativos especializada em asses-soria de investigação e análise, fundada em 1948, marcou o início da criação de um conjunto

Se gu ra nç a d e R ed es e S is te m as

de regras para a segurança de computadores. Mais tarde, o DoD (Departamento de Defesa dos Estados Unidos) publicou o Orange Book, conhecido também como Trusted Computer Evalution Criteria. Publicado inicialmente em 1978, em forma de um rascunho, foi finalizado em 1985. O Orange Book, mesmo sendo um documento já ultrapassado, marcou o início da busca por um conjunto de regras para a avaliação de um ambiente computacional seguro. Em 1987, o DTI (Departamento de Comércio e Indústria do Reino Unido) criou um centro de segurança de informações, que, entre suas atribuições, estava a de criar uma norma de segurança das informações do Reino Unido. Até 1988, vários documentos foram publicados. Em 1995, esse centro, denominado Commercial Computer Security Centre (CCSC), juntamente com o grupo britânico BSI, lança o BS7799:1995, Gestão de Segurança da Informação. Código de prática para sistemas de informação de gestão de segurança, essa norma é divida em duas partes: uma homologada em 2000 e, a outra, em 2002. É a base para a gestão de segurança da informação usada por entidades de metodologia de gestão da segurança da informação focada nos princípios básicos da segurança: Confidencialidade, Integridade e Disponibilidade. Em dezembro de 2000, a ISO (International Organization of Standadization ) internaciona-lizou a norma BS17799, criando a ISO/IEC 17799:2000, uma norma abrangente e interna-cional voltada para a gestão de segurança da informação.

O objetivo dessa norma era criar um conjunto de regras para assegurar a continuidade do negócio e minimizar prejuízos empresariais, reduzindo o impacto causado por incidentes de segurança. As normas da ISO baseadas em segurança da informação foram atualizadas e agrupadas na família de numeração 27000.

A ABNT (Associação Brasileira de Normas Técnicas ) publicou uma série de normas baseadas na ISO, traduzidas para o português.

1 ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de segurança – Sistema de gestão da segurança da informação – Requisitos. Versão atual da BS7799 parte 2. Essa norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI) documentado dentro do contexto dos riscos de negócio globais da organização. Essa norma especifica requisitos para implementar os controles de segu-rança personalizados para as necessidades individuais de organizações ou suas partes. 1 ABNT NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de segurança –

Código de prática para a gestão de segurança da informação. Versão atual da ISO/IEC 17799. Essa norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os obje-tivos definidos nessa norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão de segurança da informação.

1 ABNT NBR ISO/IEC 27003:2010 – Tecnologia da Informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação. Essa norma foca os aspectos críticos necessários para a implantação e o projeto bem-sucedido de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27001:2006. A norma descreve o processo de especificação e projeto do SGSI desde a sua concepção até a elaboração dos planos de implantação. Ela descreve o processo de obtenção de aprovação da direção para implementar um SGSI e fornece diretrizes sobre como planejar o projeto do SGSI.

Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça

1 ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Essa norma fornece diretrizes para o processo de gestão de riscos e segurança da informação. Norma criada para apoiar o entendimento das especificações e conceitos estabelecidos pela norma ABNT NBR ISO/IEC 27001:2006. Para aqueles que desejarem mais informação sobre esse assunto, logo abaixo são listadas as principais normas sobre segurança da informação:

1 ISO/IEC 27000: Information security management systems – Overview and vocabulary. 1 ISO/IEC 27003: Information security management system implementation guidance. 1 ISO/IEC 27004: Information security management measurements.

1 ISO/IEC 27006: Requirements for bodies providing audit and certification of information security management systems.

1 ISO/IEC 9797-1: Message Authentication Codes (MACs) – Part 1: Mechanisms using a block cipher.

1 ISO/IEC 9798-1: Entity authentication – Part 1: General.

1 ISO/IEC 9979: Procedures for the registration of cryptographic algorithms. 1 ISO/IEC 10118-1: Hashfunctions – Part 1: General.

1 ISO/IEC 11770-1: Key management – Part 1: Framework.

1 ISO/IEC 15846-1: Cryptographic techniques based on elliptic curves – Part 1: General. 1 ISO/IEC 18033-3: Encryption algorithms – Part 3: Block ciphers.

1 ISO/IEC 15408-1: Evaluation criteria for IT security – Part 1: Introduction and general model. 1 ISO/IEC 15408-2: Evaluation criteria for IT security – Part 2: Security functional.

1 ISO/IEC 15408-3: Evaluation criteria for IT security – Part 3: Security assurance.

1 ISO/IEC 15443-1: A framework for IT Security assurance – Part 1: Overview and framework. 1 ISO/IEC 15443-2: A framework for IT Security assurance – Part 2: Assurance Methods. 1 ISO/IEC 15443-3: A framework for IT Security assurance – Part 2: Analysis of Assurance Methods. 1 ISO/IEC 18045: A framework for IT Security assurance – Methodology for IT Security Evaluation. 1 ISO/IEC 18043: Selection, deployment and operations of intrusion detection systems. 1 ISO/IEC 18044: Information security incident management.

1 ISO/IEC 24762: Guidelines for information and communications technology disaster recovery services.

1 ISO/IEC 27033-1: Network Security – Part 1: Guidelines for network security.

1 ISO/IEC 27034-1: Guidelines for Application Security – Part 1: Overview and Concepts. 1 ISO/IEC 24760: A framework for identity management.

1 ISO/IEC 29100: A privacy framework.

1 ISO/IEC 29101: A privacy reference architecture. 1 ISO/IEC 29115: Entity authentication assurance.

Políticas de segurança

A Política de Segurança da Informação e Comunicações (POSIC) é o documento mais impor-tante de uma organização quando se trata de Segurança da Informação. Nela estão todas as diretrizes, recomendações e deveres de todos. O profissional de segurança deve conhecer

Se gu ra nç a d e R ed es e S is te m as

q

Outras políticas associadas à POSIC tratam de assuntos mais específicos, como por exemplo: 1 Política de Uso Aceitável (PUA).

1 Política de Controle de Acesso (PCA). 1 Plano de Continuidade de Negócio (PCN).

1 Política de senhas.Política de Salvaguarda (backup).

Esse assunto não faz parte diretamente do escopo deste curso, porém é importante conhecer todas as políticas e legislações do órgão em que se está implantando uma solução de segurança, pois elas podem impactar diretamente no que pode ou não ser feito, nas punições para o descumprimento da política e nos responsáveis pelas informações e recursos computacionais. A norma ABNT NBR ISO/IEC 27001 possui um capítulo inteira-mente dedicado às políticas de segurança.

No âmbito do Governo Federal, o Gabinete de Segurança Institucional (GSI) da Presidência da República, através do Departamento de Segurança da Informação e Comunicações, publicou uma série de instruções normativas com o objetivo de orientar a administração pública em diversas questões da Segurança da Informação.

q

Normas DSIC/GSIPR:

1 Norma Complementar nº 01/IN01/DSIC/GSIPR: Atividade de Normatização.

1 Norma Complementar nº 02/IN01/DSIC/GSIPR: Metodologia de Gestão de Segurança da Informação e Comunicações.

1 Norma Complementar nº 03/IN01/DSIC/GSIPR: Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Adminis-tração Pública Federal.

1 Norma Complementar nº 04/IN01/DSIC/GSIPR e seu anexo, Diretrizes para o Processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) nos órgãos e entidades da Administração Pública Federal.

1 Norma Complementar nº 05/IN01/DSIC/GSIPR e seu anexo, Disciplina e Criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da Administração Pública Federal.

1 Norma Complementar nº 06/IN01/DSIC/GSIPR: Diretrizes para a Gestão de Continui-dade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunica-ções, nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF). Em especial foi publicada a Instrução Normativa IN01-GSI/PR, que define orientações para a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, e algumas Normas Complementares:

1 Norma Complementar nº 01/IN01/DSIC/GSIPR: atividade de normatização, que tem como objetivo estabelecer critérios e procedimentos para a elaboração, atualização, alte-ração, aprovação e publicação de normas complementares sobre gestão de segurança da informação e comunicações, no âmbito da Administração Pública Federal.

1 Norma Complementar nº 02/IN01/DSIC/GSIPR: metodologia de Gestão de Segurança da Informação e Comunicações utilizada pelos órgãos e entidades da Administração Pública Federal.

Para aqueles que desejarem continuar seus estudos em políticas de segurança, visto que não é o objetivo principal deste curso, o instituto SANS (sans.org) oferece um modelo padrão de política de segurança que poderá ser adaptado e utilizado em qualquer ambiente computacional.

w

Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça

1 Norma Complementar nº 03/IN01/DSIC/GSIPR: estabelece diretrizes, critérios e proce-dimentos para a elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Adminis-tração Pública Federal.

1 Norma Complementar nº 04/IN01/DSIC/GSIPR: estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) considerando prioritariamente os objetivos estratégicos, os processos e requisitos legais e a estrutura dos órgãos ou entidades da Administração Pública Federal.

1 Norma Complementar nº 06/IN01/DSIC/GSIPR: estabelece diretrizes para Gestão da Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal.

1 Norma Complementar nº 07/IN01/DSIC/GSIPR: estabelece diretrizes para implemen-tação de controles de acesso relativos à Segurança da Informação e Comunicações, abrangendo a criação de contas de usuários, rede corporativa de computadores e ativos de informação. Essa norma contempla inclusive um anexo com um modelo de termo de responsabilidade a ser utilizado pelos utilizadores dos meios computacionais da entidade. 1 Norma Complementar nº 08/IN01/DSIC/GSIPR: disciplina o gerenciamento de

Inci-dentes de Segurança em Redes de Computadores realizado pelas equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais (ETIR) nos órgãos e entidades da APF (Administração Pública Federal).

1 Norma Complementar nº 09/IN01/DSIC/GSIPR: estabelece orientações para o uso de recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal, informando principalmente as responsabilidades tanto dos gestores de Segurança da Informação quanto do agente público que utilize esse recurso.

Mesmo para empresas privadas ou outras entidades, as normas podem servir como um bom embasamento para a criação da política de segurança, do grupo de resposta a incidentes de segurança ou do processo de gestão de riscos. Para a comodidade do aluno, o item 6 consta a NC 03, que trata de diretrizes para a elaboração de uma política de segurança (POSIC). É possível encontrar na web diversas políticas de segurança completas publicadas por órgãos públicos brasileiros. Um exemplo seria a Portaria/Incra/P/N° 70, de 29/03/2006 (DOU nº 62, de 30 de março de 2006).

Exercício de fixação 4

e

Políticas de segurança

O que é política de segurança? Ela existe na sua organização? As normas do DSIC/

GSIPR são públicas e podem ser obtidas no site do DSIC:

http://dsic.planalto.gov.br/

w