Segurança
de Redes e Sistemas
ISBN 978-85-63630-13-1
9 788563 630131
O aluno aprenderá a implementar uma solução
com-pleta de proteção de redes, utilizando técnicas como
firewall, IDS, IPS e VPN. O amplo escopo de conceitos
abordados permitirá a aplicação das técnicas de
auten-ticação e autorização seguras, auditorias de segurança
e de requisitos de configuração segura de servidores
Linux e Windows. Após o curso, o aluno será capaz de
montar um perímetro seguro, aumentar a segurança
dos servidores da rede, realizar auditorias de segurança
e implantar sistemas de autenticação seguros.
Este livro inclui os roteiros das atividades práticas e o
conteúdo dos slides apresentados em sala de aula,
apoiando profissionais na disseminação deste
conheci-mento em suas organizações ou localidades de origem.
Segurança
de Redes
e Sistemas
LIVRO DE APOIO AO CURSO
Ivo de Carvalho Peixinho
Francisco Marmo da Fonseca
Francisco Marcelo Marques Lima
Ivo de Carvalho Peixinho
Francisco Marmo da Fonseca
Francisco Marcelo Marques Lima
Segurança
de Redes
e Sistemas
Ivo de Carvalho Peixinho
Francisco Marmo da Fonseca
Francisco Marcelo Marques Lima
Rio de Janeiro
Escola Superior de Redes
2013
Segurança
de Redes
e Sistemas
Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103
22290-906 Rio de Janeiro, RJ Diretor Geral
Nelson Simões
Diretor de Serviços e Soluções
José Luiz Ribeiro Filho Escola Superior de Redes
Coordenação
Luiz Coelho
Edição
Pedro Sangirardi
Revisão Técnica
Francisco Marcelo Lima
Coordenação Acadêmica de Segurança e Governança de TI
Edson Kowask
Equipe ESR (em ordem alfabética)
Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Sérgio Souza
Capa, projeto visual e diagramação
Tecnodesign
Versão
2.1.1
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição
Escola Superior de Redes
Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br
info@esr.rnp.br
Dados Internacionais de Catalogação na Publicação (CIP) W380p PEIXINHO, Ivo de Carvalho
Segurança de Redes e Sistemas/ Ivo de Carvalho Peixinho. – Rio de Janeiro: RNP/ESR, 2013. 268 p. : il. ; 27,5 cm.
Bibliografia: p. 251. ISBN 978-85-63630-13-1
1. Planejamento estratégico – Processamento de dados. 2. Sistemas de informação gerencial. 3. Tecnologia da informação – gestão. I. Título.
Sumário
1.
Fundamentos de segurançaIntrodução 1
Exercício de nivelamento 1 – Fundamentos de Segurança 2
Conceitos básicos de segurança 2
Exercício de fixação 1 – Conceitos 6
Processo de Tratamento de Resposta a Incidentes 6
Ciclo de vida de um incidente 7
Grupos de resposta a incidentes 8
Exercício de fixação 2 – Processo de tratamento de incidentes 11
Exercício de fixação 3 – Grupo de resposta a incidentes 11
Normas ISO/ABNT 11
Políticas de segurança 13
Exercício de fixação 4 – Políticas de segurança 15
Planejando uma rede segura 16
Roteiro de Atividades 1 17
Atividade 1 – Exercitando os fundamentos de segurança 17
Atividade 2 – Normas de segurança 17
Atividade 3 – Política de segurança 17
Atividade 4 – Configuração inicial do laboratório prático 18
2.
Explorando vulnerabilidades em redesIntrodução 21
Exercício de fixação 1 – Penetration Test 24
Exercício de fixação 2 – Packet sniffing 24
Nmap 24
Exercício de fixação 3 – Nmap 27
Hping 27
Exercício de fixação 3 – IP Spoofing 34
Exercício de fixação 4 – DoS 34
Alguns tipos de ataques 34
Exercício de fixação 5 – Alguns tipos de ataque 37
Roteiro de Atividades 2 45
Atividade 1 – Realizando ataques de protocolos 45
Atividade 2 – Levantando os serviços da máquina alvo com Nmap 46
Atividade 3 – Realizando um ataque com Metasploit 47
Atividade 4 – Realizando um ataque de dicionário com o Medusa 49
3.
Firewall – Conceitos e ImplementaçãoIntrodução 51
Exercício de nivelamento 1 – Firewall 51
Firewall 52
Tecnologias de firewall 52
Exercício de fixação 1 – Filtros de pacotes 55
Exercício de fixação 2 – Servidores proxy 55
Topologias de firewall 55
Exercício de fixação 3 – Topologias de firewall 58
Exercício de fixação 4 – Screened Subnet 58
Implementação de firewalls 58
Netfilter (Iptables) 58
Implementação do Netfilter 59
Modo de operação do Netfilter 61
Exercício de fixação 5 – Netfilter 63
Controle perimetral 63
Tradução de IP (NAT) 65
Packet Filter (PF) 66
Roteiro de Atividades 3 71
Atividade 1 – Filtros de pacotes 71
Atividade 2 – Topologias de firewall 71
Atividade 3 – Topologias de firewall 72
Atividade 4 – Filtro de pacotes 73
Atividade 5 – Controle de NAT 79
Atividade 6 – Gerenciamento gráfico do Firewall Builder 80
Atividade 7 – Identificando as regras do firewall 80
4.
Serviços básicos de segurançaIntrodução 81
Exercício de nivelamento 1 – Serviços básicos de segurança 81
Gerenciamento de logs 81
Syslog-ng 82
Exercício de fixação 1 – Gerenciamento de logs 85
Exercício de fixação 2 – Syslog 85
Logs do Windows 85
Exercício de fixação 3 – Logs do Windows 88
Exercício de fixação 4 – NTP 88
Monitoramento de serviços 89
Avaliação das ferramentas 92
Vantagens do Cacti 93
Roteiro de Atividades 4 95
Atividade 1 – Configuração do servidor de Syslog 95
Atividade 2 – Configuração do servidor de hora 97
Atividade 3 – Monitoramento de serviços 100
5.
Detecção e prevenção de intrusosIntrodução 103
Exercício de nivelamento 1 – Detecção e prevenção de intrusos 103
Sistemas de Detecção de Intrusos (IDS) 103
Exercício de fixação 1 – IDS 105
Sistema de Prevenção de Intrusos (IPS) 105
Sistemas de Detecção de Intrusos em hosts (HIDS) 106
Exercício de fixação 3 – HIDS 107
Snort 107
Instalação do Snort 109
Configuração do Snort 112
Regras do Snort 113
Oinkmaster 114
Guardian: um Snort reativo 115
Snort-inline 115
HIDS 116
Roteiro de Atividades 5 117
Atividade 1 – Configuração básica do Snort 117
Atividade 2 – Atualização de regras 118
Atividade 3 – Bloqueio automático no firewall 119
Atividade 4 – Criando uma regra personalizada do Snort 119
6.
Autenticação, Autorização e Certificação DigitalIntrodução 121
Exercício de nivelamento 1 – Autenticação e autorização 121
Sistema AAA 121
Exercício de fixação 1 – Sistema AAA 123
Criptografia 123
Criptografia simétrica 124
Criptografia assimétrica 125
Tamanho das chaves 125
Algoritmos Hash 126
Modos de operação de algoritmos criptográficos 127
Exercício de fixação 2 – Criptografia 127
Exercício de fixação 3 – Algoritmos Hash 127
Certificados digitais 128
Obtendo certificado de usuário 128
Revogando o certificado do usuário 129
Exercício de fixação 4 – Certificados digitais 129
Gerenciamento de senhas 129
Valor do SALT 131
Exercício de fixação 5 – Sistema de senhas Linux 132
Exercício de fixação 6 – SALT 132
Sistema de senhas Windows 132
Administrando as senhas 133
Exercício de fixação 7 – Sistema de senhas no Windows 134
Sistemas de Autenticação Única 134
OTP 134
S/Key 134
Smart Card 135
Servidores de diretório: LDAP 136
Serviço de diretório 136
Exercício de fixação 8 – LDAP 137
Exercício de fixação 9 – Serviço de diretórios 137
Tipos de informação 137
Protocolo Kerberos 137
Acesso a serviços em uma rede 140
Benefícios do Kerberos 140
Organização do Kerberos 141
Exercício de fixação 10 – Kerberos 141
Certificação digital 142
Trilhas de auditoria 142
Geração dos dados 142
Roteiro de Atividades 6 145
Atividade 1 – Utilização do sistema OTP S/Key 145
Atividade 2 – Configurando o serviço de autenticação Kerberos no Windows 2008 146
Atividade 3 – Uso do Cain & Abel para avaliar a segurança do sistema de autenticação 147
7.
Redes Privadas VirtuaisIntrodução 151
Exercício de nivelamento 1 – Redes Privadas Virtuais 151
VPN 151
Objetivos de uma VPN 152
VPN PPTP 153
L2TP 153
Exercício de fixação 2 – IPSec 156
Modos de operação do IPSec 156
Protocolos IPSec 157
Exercício de fixação 3 – IPSec 159
VPN SSL 159
Exercício de fixação 4 – VPN SSL 160
Implementação IPSec no Linux 160
Instalação do Openswan 160 Configuração do Openswan 162 Implementação de VPN SSL no Linux 164 Instalação do OpenVPN 165 Configuração do OpenVPN 166 Roteiro de Atividades 7 169 Atividade 1 – VPN IPSec 169 Atividade 2 – VPN SSL 171
Atividade 3 – Servidor VPN SSL para múltiplos clientes 176
8.
Auditoria de Segurança da InformaçãoIntrodução 181
Exercício de nivelamento 1 – Auditoria de Segurança da Informação 181
Análise de vulnerabilidades 182
Exercício de fixação 1 – Análise de vulnerabilidades 183
Instalação do Nessus 183
Auditoria com o Nessus 184
Exemplo de auditoria em firewall 187
Arquitetura do firewall 187
Testando o firewall 187
Testando as regras do firewall 188
Exercício de fixação 2 – Arquitetura do firewall 192
Exercício de fixação 3 – Testando o firewall 192
Alertas e registros 192
Roteiro de Atividades 8 195
Atividade 1 – Auditoria com Nessus 195
Atividade 2 – Auditoria sem filtros de pacotes 196
Atividade 4 – Exemplo de auditoria 196
Atividade 5 – Utilizando o Nikto 197
Atividade 6 – Utilizando o Xprobe 197
Atividade 7 – Utilizando o THC-Amap 198
9.
Configuração segura de servidores WindowsIntrodução 199
Exercício de nivelamento 1 – Configuração segura de servidores Windows 199
Necessidade de configuração de um bastion host 200
Exercício de fixação 1 – Bastion host 200
Check-list 200
Configuração de filtros de pacotes 201
Exercício de fixação 2 – Configuração de filtros de pacotes 204
Criação de uma linha base de segurança (baseline) 204
Desabilitando serviços desnecessários 204
Exercício de fixação 3 – Baseline 207
Ferramentas de análise da segurança do Windows 207
WMIC 208
SYSInternals 208
WSUS 210
MBSA 210
Microsoft Security Compliance Manager 211
Exercício de fixação 4 – Microsoft Security Compliance Manager 214
Sistemas de arquivos e gerenciamento de usuários 214
Group Policy Objects 215
Exercício de fixação 5 – Group Policy Objects (GPO) 217
Políticas de usuários e de computador 217
Heranças de GPO 218
Diretivas de segurança local 219
Diretiva de senhas 219
Diretiva de auditoria 220
Atribuição de direitos de usuários 222
Opções de segurança 222
Roteiro de Atividades 9 225
Atividade 2 – Auditoria 226
Atividade 3 – Envio de log para servidor remoto 227
Atividade 4 – Controle de acesso ao sistema operacional 228
10.
Configuração segura de servidores LinuxIntrodução 229
Exercício de nivelamento 1 – Configuração segura de servidores Linux 230
Instalação do Linux 230
Desabilitando serviços desnecessários 231
Exercício de fixação 1 – Desabilitando serviços desnecessários 234
Pacotes e programas 234
Configuração segura de serviços 236
Exercício de fixação 2 – Configuração segura de serviços 237
Acessos administrativos 237
Exercício de fixação 3 – Acessos administrativos 239
Atualização do sistema operacional 239
Pacotes compilados 240
Sistema de arquivos proc 240
Roteiro de Atividades 10 243
Atividade 1 – Configuração segura de servidor 243
Atividade 2 – Auditoria 250
Atividade 3 – Ferramentas e mecanismos para monitoramento 250
Atividade 4 – Ferramentas de segurança 250
A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunicação (TIC).
A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicáveis ao uso eficaz e eficiente das TIC.
A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Pro-jeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI.
A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos educacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um con-junto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típi-cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-blema, em abordagem orientada ao desenvolvimento de competências.
Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente.
As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atuação do futuro especialista que se pretende formar.
As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir:
Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos).
O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem.
Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos).
Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assín-crona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares.
Terceira etapa: discussão das atividades realizadas (30 minutos).
O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.
Sobre o curso
O aluno aprenderá sobre perímetros de segurança, através da implementação de uma solução completa de proteção de redes, utilizando técnicas como firewall, IDS, IPS e VPN. O amplo escopo de conceitos abordados permitirá a aplicação das técnicas seguras de autenticação e autorização, auditorias de segurança e requisitos de configuração de servi-dores Linux e Windows. Após o curso, o aluno será capaz de montar um perímetro seguro, aumentar a segurança dos servidores da rede, realizar auditorias de segurança e implantar sistemas de autenticação seguros.
A quem se destina
Profissionais de TI que desejam adquirir ou atualizar os seus conhecimentos sobre segurança de redes e sistemas a fim de garantir melhor aplicabilidade das práticas de segurança da informação em suas organizações.
Convenções utilizadas neste livro
As seguintes convenções tipográficas são usadas neste livro:
Itálico
Largura constante
Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos.
Conteúdo de slide
Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. Símbolo
Indica referência complementar disponível em site ou página na internet. Símbolo
Indica um documento como referência complementar. Símbolo
Indica um vídeo como referência complementar. Símbolo
Indica um arquivo de aúdio como referência complementar. Símbolo
Indica um aviso ou precaução a ser considerada. Símbolo
Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão.
Símbolo
Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação.
Permissões de uso
Todos os direitos reservados à RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: PEIXINHO, Ivo. Segurança de Redes e Sistemas. Rio de Janeiro: Escola Superior de Redes, 2013.
Comentários e perguntas
Para enviar comentários e perguntas sobre esta publicação:
Escola Superior de Redes RNP
Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906
Sobre os autores
Ivo de Carvalho Peixinho é Bacharel em Ciência da Computação pela UFBA e Especialista
em Gestão de Segurança da Informação pela UnB. Possui mais de 15 anos de experiência na área de Segurança da Informação. Foi Diretor Técnico na XSite Consultoria e Tecnologia, Analista de Suporte na Universidade Federal da Bahia. Em 2004 atuou como Analista de Segurança Sênior no CAIS/RNP por dois anos e atualmente é Perito Criminal Federal do Departamento de Polícia Federal desde 2007, lotado atualmente no Serviço de Repressão a Crimes Cibernéticos - SRCC/CGPFAZ/DICOR/DPF. É professor de pós-graduação nas discipli-nas de Análise Forense em Sistemas UNIX e Análise de Malware e é palestrante em diversos eventos nacionais e internacionais como GTS, Seginfo, CNASI, ICCyber e FIRST.
Francisco Marmo da Fonseca é bacharel em Engenharia da Computação pelo Instituto de
Educação Superior de Brasília e pós-graduando em Perícia Digital pela Universidade Cató-lica de Brasília. Iniciou sua atuação em Redes como bolsista pesquisador do Projeto de Pes-quisa REMAV-GO (1997-1999), financiado pela RNP e CNPq. Possui 14 anos de experiência na área de Redes de Computadores, atua como engenheiro consultor de Redes há 5 anos, sendo os últimos 3 anos na Layer2 do Brasil em clientes como Departamento de Polícia Federal, IG e Oi. Tem passagens pela Serasa (2006-2008) como consultor no Banco Central na Rede do Sistema Financeiro Nacional, e na Brasil Telecom (2002-2007) como analista de Operações de Redes IP.
Francisco Marcelo Marques Lima é certificado Project Management Professional (PMP) e
Modulo Certified Security Officer (MCSO), Mestre em Engenharia Elétrica pela Universidade de Brasília (2009), Mestre em Liderança pela Universidade de Santo Amaro (2007) e pós--graduado em Segurança de Redes de Computadores pela Universidade Católica de Brasília (2003). Atualmente exerce as funções de Coordenador dos Cursos de Redes de Computa-dores e Segurança da Informação do IESB e Analista em TI do MPOG cedido para a Contro-ladoria-Geral da União/PR. Atua, também, como instrutor/revisor dos cursos de segurança e redes na RNP e instrutor/revisor dos cursos de planejamento estratégico (PDTI) e gestão de contratos de TI (GCTI) na ENAP. Possui mais de 15 anos de experiência na área de Ciência da Computação com ênfase em Segurança da Informação, Redes e Construção de Software tendo exercido funções como: Coordenador Geral de TI do INCRA (DAS 4); Coordenador do Curso de Segurança da Informação da Faculdade Rogacionista; Coordenador do Curso de Processamento de Dados e Segurança da Informação da Faculdade AD1, Analista em Segurança da empresa Módulo Security Solutions.
Edson Kowask Bezerra é profissional da área de segurança da informação e governança
há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informa-ção, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como pales-trante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, de inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes.
Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça
obj
et
ivo
s
co
nc
ei
to
s
1
Fundamentos de segurança
Apresentar ao aluno fundamentos de segurança como estratégias, estágios do ciclo de vida de incidentes, grupos de resposta a incidentes e normas de políticas de segurança.
Confidencialidade, integridade, disponibilidade, autenticidade, legalidade, não repúdio e privacidade, entre outros.
Introdução
A Segurança da Informação (SI) é uma área em constante evolução, que se desenvolveu muito nos últimos anos, com a criação de normas e certificações internacionais e aumento expres-sivo no número de profissionais dedicados. O profissional que pretende atuar nessa área deve estar ciente de que ela é bastante dinâmica e envolve diversos setores da computação, como programação e desenvolvimento de sistemas, redes de computadores, sistemas operacionais e bancos de dados, entre outras. Quanto mais conhecimento o profissional de SI possuir, mais capacidade terá de desempenhar seu papel. Apesar de todos esses avanços, a SI ainda é uma área nova, e a cada dia novas subáreas e conceitos são descobertos e incorporados.
Para este curso, considera-se que o aluno completou o curso de Introdução à Segurança de Redes e já possui uma noção sobre segurança de redes, incluindo a família de protocolos TCP/IP, além de noções de administração de servidores Linux e Windows. Este curso terá enfoque mais prático, com foco na área de redes e sistemas operacionais. Ao final do curso, o aluno deve ser capaz de compreender e utilizar os conceitos e ferramentas de segurança de redes, de modo a projetar e configurar uma rede com um nível de segurança aceitável, além de ser capaz de aumentar o nível de segurança dos sistemas operacionais mais utilizados no mercado, através de configurações mais seguras dos sistemas e serviços destes sistemas operacionais. Por fim, é importante que o aluno tenha consciência de que este é um curso prático e progressivo, com atividades práticas fundamentais e interdependentes, de modo que uma atividade de um capítulo é pré-requisito para as atividades dos capítulos seguintes. O aluno deve investir nas atividades práticas para finalizá-las completamente, caso contrário poderá não obter o aproveitamento desejado.
Se gu ra nç a d e R ed es e S is te m as
Exercício de nivelamento 1
e
Fundamentos de Segurança
O que você entende por segurança da informação?
Como sua organização trata a área de segurança da informação?
Conceitos básicos de segurança
O profissional de segurança deve ter sempre em mente alguns conceitos básicos, que nortearão o seu trabalho no dia a dia. Ele deve pensar de forma diferente do tradicional, pois para ele não é suficiente apenas o recurso ou serviço estar funcionando: é preciso estar funcionando de forma segura. Podemos citar como exemplo o desenvolvimento de uma aplicação web. Neste exemplo dispomos de diversos componentes que devem funcionar de forma integrada. Podemos citar então:
q
1 Servidores físicos (hardware). 1 Sistemas operacionais dos servidores. 1 Servidor de aplicação.
1 Servidor HTTP. 1 Aplicação web.
1 Servidor de banco de dados.
1 Segurança do hardware dos servidores. 1 Segurança do sistema operacional.
1 Segurança da aplicação através de testes de penetração. 1 Segurança da rede de comunicação.
Aqui estamos tratando de um exemplo didático, pois uma aplicação comercial em produção poderá ter outros componentes, como redundância, sistemas de gerenciamento, sistemas de avaliação de desempenho das aplicações e ambientes de virtualização, entre outros. Para o desenvolvedor, a preocupação maior é com o bom funcionamento da aplicação. Hoje existem alguns padrões de desenvolvimento seguro, boas práticas e informações sobre os problemas de segurança mais comuns desse tipo de aplicação. Porém, o desenvolvedor nor-malmente possui prazos a cumprir e nem sempre possui experiência suficiente no desen-volvimento de código seguro. A equipe de suporte possui a preocupação de alocar recursos suficientes para a operação da aplicação, de acordo com a carga esperada. A equipe de homologação e testes muitas vezes está apenas preocupada com o bom funcionamento da aplicação em condições normais de operação. O profissional de segurança, por outro lado, está preocupado com a segurança da aplicação, o que envolve a segurança de cada um dos componentes envolvidos:
1 Segurança do hardware dos servidores, com garantia de fornecimento de energia através de fontes redundantes, nobreaks, geradores e até servidores redundantes.
Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça
1 Segurança do sistema operacional, do servidor de aplicação e do servidor web, através da configuração segura, retirada de serviços desnecessários, aplicação das últimas corre-ções de segurança do fabricante, filtragem de portas desnecessárias, entre outros. 1 Segurança da aplicação através de testes de penetração, avaliação das possíveis
vulnera-bilidades, análise do código, entre outros.
1 Segurança da rede de comunicação, com avaliação da possibilidade de ataques de negação de serviço pela rede, ataques a protocolos, entre outros.
q
O profissional de segurança deve ter uma formação diversificada: 1 Segurança de redes wireless.
1 Testes de invasão (pentest). 1 Análise forense computacional. 1 Tratamento de incidentes de segurança. 1 Desenvolvimento de aplicações seguras. 1 Segurança de aplicações.
O profissional de segurança deve ter profundo conhecimento em questões de segurança física de computadores, segurança de sistemas operacionais, serviços e aplicações web, atuando com responsabilidade e sempre buscando níveis mais profundos de conhecimento. Atualmente, com o aumento da complexidade dos sistemas de informação, está cada vez mais difícil um único profissional abranger todo esse conhecimento, de forma que começam a surgir profissionais especializados em determinadas áreas da segurança. Áreas como segurança de redes wireless, testes de invasão (pentest), análise forense computacional, tra-tamento de incidentes de segurança e desenvolvimento de aplicações seguras são apenas alguns exemplos de especializações encontradas no mercado nos dias de hoje.
Entre os conhecimentos que um profissional de segurança deve possuir, talvez o conceito mais básico corresponda à sigla CID (Confidencialidade, Integridade e Disponibilidade), que é derivada do inglês CIA (Confidentiality, Integrity and Availability). Ela é o pilar de toda a área de SI, de modo que um incidente de segurança é caracterizado quando uma dessas áreas é
afetada. A seguir, veremos em detalhes cada um desses itens.
q
Fundamentos de segurança: 1 Confidencialidade. 1 Integridade. 1 Disponibilidade.
A Confidencialidade é um termo diretamente ligado à privacidade de um recurso. Um
recurso deve estar acessível apenas para a pessoa ou grupo que foi definido como usuário autorizado para dispor daquele acesso, e nenhum outro. Por exemplo, as notas de um aluno devem ser acessadas somente pelo aluno, pelos professores das disciplinas cursadas por ele e pela equipe de registro acadêmico.
O termo Integridade possui duas definições: a primeira relacionada com o fato da
infor-mação ter valor correto; por exemplo, no resultado da correção de uma prova, a nota obtida foi avaliada por um professor com conhecimento da disciplina, e portanto apto para julgar o conteúdo. A segunda definição está ligada à inviolabilidade da informação, ou seja, a nota não pode ser alterada sem justificativa e por meio controlado. A nota não pode “sumir” ou ser simplesmente alterada.
Incidente de segurança
Pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacio-nado à segurança de sistemas de compu-tação ou de redes de
Se gu ra nç a d e R ed es e S is te m as
O termo Disponibilidade está relacionado ao acesso à informação, que pode ser
contro-lada ou não, e disponível quando necessária. Um ataque de negação de serviço pode, por exemplo, evitar o acesso à informação, afetando a disponibilidade.
É importante notar que a disponibilidade e a integridade podem ser medidas de forma simples, visto que elas são perceptíveis pelos usuários da informação. A confi-dencialidade, por outro lado, pode ser quebrada sem que se tenha conhecimento do fato, pois a simples visualização de uma informação por um usuário não autorizado não necessariamente altera essa informação. Daí a importância da auditoria, onde são analisados os registros de acesso de determinada informação, com o objetivo de verificar se houve acesso indevido. A auditoria será tratada no capítulo 8.
Observe, ainda, que existem três dimensões completamente distintas: duas delas, a confidencialidade e a integridade, são valores boolianos: ou a informação se manteve confidencial ou não; ou a informação se manteve íntegra ou não. A terceira é um número real entre 0 e 1, podendo ser calculada pela própria definição. Duas podem ser monito-radas e medidas: a integridade e a disponibilidade. Não temos como saber se um dado perdeu confidencialidade.
q
Conceitos auxiliares: 1 Autenticidade. 1 Legalidade. 1 Não repúdio. 1 Privacidade.A literatura moderna inclui ainda mais alguns conceitos, que muitas vezes são considerados auxiliares aos três já listados. São eles:
1 Autenticidade: garantia de que uma informação, produto ou documento foi elaborado ou distribuído pelo autor a quem se atribui.
1 Legalidade: garantia de que ações sejam realizadas em conformidade com os preceitos legais vigentes e que seus produtos tenham validade jurídica.
1 Não repúdio: conceito muito utilizado quando tratamos de certificação digital, onde o emissor de uma mensagem não pode negar que a enviou. As tecnologias de certificação digital e assinatura digital são exemplos que propiciam essa condição.
1 Privacidade: conceito amplo, que expressa a habilidade de um indivíduo em controlar a exposição e a disponibilidade de informações acerca de si. Com o crescimento dos meca-nismos de busca, bancos de dados e informações publicadas na internet e redes sociais, esse conceito tem sido muito discutido em fóruns específicos. Um exercício interessante que o aluno pode realizar é buscar o seu próprio nome no site de buscas do Google.
É comum nos referirmos a esse conjunto de conceitos básicos como CID ou CIDAL, que corresponde às iniciais de alguns dos conceitos apresentados. A sigla DICA ainda é usada em referência aos quatro primeiros conceitos.
Além dos conceitos apresentados acima, o livro Building Internet Firewalls, de Elizabeth D. Zwicky, Simon Cooper e D. Brent Chapman (editora O’Reilly), define ainda outros conceitos, denominados de estratégias de segurança.
Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça
q
1 Least Privilege (Menor Privilégio).
1 Defense in Depth (Defesa em Profundidade). 1 Choke Point (Ponto Único).
1 Default Deny & default Permit Stance (Atitude de Bloqueio Padrão e Permissão Padrão). 1 Universal Participation (Participação Universal).
1 Diversity of Defense (Diversidade de Defesa). 1 Inherent Weakness (Fraquezas Inerentes). 1 Common configuration(Configuração Comum). 1 Common Heritage (Herança Comum).
1 Weakest Link (Elo mais Fraco). 1 Fail Safe (Falha Segura). 1 Simplicity (Simplicidade).
Esses conceitos são muito importantes, e o profissional de segurança deve sempre tê-los em mente no seu dia a dia:
1 Least Privilege (Menor Privilégio): cada objeto deve ter apenas os privilégios mínimos para executar suas tarefas, e nenhum outro. Apesar de muito importante, é difícil aplicar esse conceito, pois muitas vezes ele envolve uma série de ajustes e um mínimo erro pode fazer com que o recurso pare de funcionar. Como exemplo, podemos citar um servidor web. Executar o processo do servidor como o usuário administrador provavel-mente fornecerá uma série de privilégios desnecessários a ele. Nesse caso, convém criar um usuário específico (ex: httpd) e definir as permissões mínimas para que o serviço funcione. Por exemplo: permissão de leitura na pasta onde ficam as páginas HTML e per-missão de leitura e gravação na pasta onde ficam os registros de acesso.
1 Defense In Depth (Defesa em Profundidade): não depender de um único mecanismo de segurança, independente do quão forte ele possa parecer. Não existe nenhum meca-nismo 100% seguro, então qualquer mecameca-nismo pode ser subvertido. Colocar defesas redundantes pode ser uma boa estratégia, pois um atacante, ao passar por suas defesas mais externas, ainda terá outras camadas de defesa para ultrapassar antes de compro-meter o sistema como um todo.
1 Choke Point (Ponto Único): canal estreito por onde os atacantes são forçados a passar, que pode ser monitorado e controlado. Exemplos: praça de pedágio em uma estrada, caixa de supermercado. Esse é o princípio utilizado pelos firewalls.
1 Default Deny e Default Permit Stance (Atitude de Bloqueio Padrão e Permissão Padrão): atitude geral em relação à segurança. Na primeira (mais segura), tudo é proibido e o que é permitido deve ser expressamente definido. Na segunda, tudo é permitido e o que é proibido deve ser definido. Em sistemas seguros, deve-se buscar sempre a primeira atitude (Default Deny), apesar de nem sempre ser possível. Para o caso do acesso à internet por um nave-gador, seria viável bloquear toda a internet e liberar apenas o que é permitido?
1 Universal Participation (Participação Universal): todos devem participar do processo de segurança. Uma única pessoa que não participa do processo pode comprometer todo o sistema. É importante lembrar que a segurança envolve pessoas, e que elas devem estar envolvidas, motivadas e participando do processo.
Se gu ra nç a d e R ed es e S is te m as
1 Inherent Weaknesses (Fraquezas Inerentes): sistemas de um mesmo tipo podem sofrer da mesma fraqueza inerente a esse tipo de sistema. Exemplos: falha de conceito ou falha de um protocolo com implementação comum.
1 Common Configuration (Configuração Comum): sistemas diferentes configurados por uma mesma pessoa ou grupo podem sofrer de problemas semelhantes de configuração. 1 Common Heritage (Herança Comum): sistemas de fabricantes diferentes podem usar
componentes comuns e consequentemente terem as mesmas falhas.
1 Weakest Link (Elo Mais Fraco): corresponde ao ponto mais fraco das suas defesas. As suas defesas são tão fortes quanto o ponto mais fraco. Este deve ser eliminado quando possível, ou ser forte o suficiente para desencorajar ataques. Muitos atacantes vão pro-curar o ponto mais fraco da sua rede, tentando atacar a rede a partir dele. Pontos fracos da rede devem ser constantemente monitorados quando não puderem ser eliminados. 1 Fail Safe (Falha Segura): os sistemas, em caso de falha, devem sempre fazê-lo de modo
a inibir qualquer tipo de acesso. O prejuízo da falta de acesso é preferível ao acesso libe-rado de forma irrestrita em caso de falha.
1 Simplicity (Simplicidade): manter o ambiente simples. A complexidade esconde poten-ciais problemas de segurança. Interfaces gráficas, gerenciadores centralizados e sistemas com configurações simples são alguns exemplos desse princípio. Porém, deve-se tomar cuidado com o excesso de simplicidade. Um simples botão na ferramenta com os dizeres “torne meu sistema seguro” pode não ser adequado. Os sistemas devem ter um mínimo de parametrização, pois cada ambiente possui suas peculiaridades.
Exercício de fixação 1
e
Conceitos
Explique com suas palavras o que é Defesa em Profundidade e como ela pode ser aplicada em sua organização.
O que é o Elo mais Fraco? Dê um exemplo na sua organização.
Processo de Tratamento de Resposta a Incidentes
De acordo com o Cert.br, um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de com-putação ou de redes de computadores. Em geral, toda situação na qual uma entidade de informação corre riscos pode ser considerada um incidente de segurança. No entanto, cada organização deve definir o que, em relação aos seus sistemas, para ela pode vir a ser um incidente de segurança. Em alguns casos, organizações podem classificar como incidentes de segurança qualquer ato que possa não estar em conformidade com a política de segu-rança adotada pela instituição.
Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça
Todo incidente ocorrido na organização deve ser tratado de acordo com uma metodologia definida previamente. Assim, para atender ao processo de resposta a incidentes de segu-rança a organização deve elaborar uma metodologia visando gerenciar consequências de uma quebra de segurança. Seu principal objetivo é minimizar o impacto causado por um incidente e possibilitar o restabelecimento dos serviços no mais curto espaço de tempo possível. O fenômeno de ataques na internet não é um fato novo: no fim da década de 80 o incidente conhecido como “Internet Worm” resultou em um incidente que paralisou centenas de sistemas na internet. Após esse problema, alguns grupos se reuniram para discutir os rumos da segurança na internet. Essa reunião resultou, mais tarde, na criação do CERT Coordination Center (Center of Emergency Response Team). Um Centro de Resposta a Incidentes, o CERT foi uma das primeiras organizações do tipo CSIRT (Computer Security Incident Response Team). Com o crescimento da internet, em meados de 1996, esses ataques provocam prejuízos que vão desde a perda de milhares de dólares até o que ocorreu há alguns anos na Europa, onde de acordo com a agência de notícias Reuters, a internet em um país parou de funcionar após ataques. Conforme informado pela IFCC (Internet Fraud Complaint Center ), uma parceria entre o FBI e o Centro Nacional de Crimes do Colarinho Branco dos Estados Unidos, entre maio de 2000 e maio de 2001, em seu primeiro ano de funcionamento, foram registrados 30.503 casos de fraudes na internet, registros colhidos apenas no site da IFCC.
Segundo o Cert.br, um CSIRT, ou Grupo de Resposta a Incidentes de Segurança, é uma orga-nização responsável por receber, analisar e responder a notificações e atividades relacio-nadas a incidentes de segurança em computadores. Normalmente, um grupo de resposta a incidentes pode ser um grupo dentro da própria instituição trabalhando exclusivamente para a resposta a incidentes dos serviços prestados pela empresa ou pode trabalhar na forma de comunidade, auxiliando várias instituições e produzindo estatísticas e relatórios que beneficiam todo um grupo ou mesmo um país (Cert.br 2007).
Um CSIRT pode agir de várias maneiras dentro da empresa, de acordo com a importância de seus serviços. Um grupo pode estar ligado diretamente à alta administração da empresa, de maneira que possa intervir e alterar os processos da instituição, mas também pode agir apenas como orientador de processos, não estando diretamente envolvido com a tomada de decisões de segurança (CSIRT Handbook 2003).
Ataques a sistemas computacionais visam comprometer os requisitos de segurança de uma organização. Esses ataques têm dois tipos de perfil: ativo, onde o atacante faz alguma ação para obter o resultado esperado, e passivo, onde o atacante utiliza-se de ferramentas para obter os dados referentes ao alvo. De acordo com o Cert.br, um CSIRT pode exercer tanto funções reativas quanto funções proativas para auxiliar na proteção e segurança dos recursos críticos de uma organização. Não existe um conjunto padronizado de funções ou serviços providos por um CSIRT. Cada time escolhe seus serviços com base nas necessi-dades da sua organização e da comunidade a quem ele atende.
Ciclo de vida de um incidente
q
1 Estágio 1 – Preparação dos Processos. 1 Estágio 2 – Gerenciamento de riscos. 1 Estágio 3 – Triagem.
Se gu ra nç a d e R ed es e S is te m as
A segurança de uma organização sempre estará sujeita a incidentes, como todas as outras áreas. Os fatores são os mais diversos, desde ameaças não intencionais causadas por usuá-rios comuns até ameaças técnicas organizadas. Para uma organização é de vital importância que os incidentes sejam tratados corretamente, e para isso se faz necessário entender como funciona o ciclo de vida de um incidente.
De acordo com o Instituto de Engenharia de Software da Carnegie Mellon University, responsável pelo Cert.org, podemos classificar o ciclo de vida de um incidente em quatro estágios (CSIRT Handbook 2003), conforme veremos a seguir.
Estágio 1 – Preparação dos processos
O início do ciclo de vida de um incidente começa antes do próprio incidente. É necessária a elaboração de processos e procedimentos para a correta ação empregada contra ameaças e vulnerabilidades possíveis à organização. É importante que todos os processos empregados sejam testados e aperfeiçoados. Esses processos têm por finalidade o correto emprego dos recursos para a resposta a incidentes.
Estágio 2 – Gerenciamento de riscos
Por meio de ações corretivas e preventivas de ameaças existentes, pois estas são um fator intrínseco dentro de uma organização. O gerenciamento de riscos é muito importante e deve ser um processo contínuo dentro de uma organização, desenvolvendo medidas de segurança e calculando seu impacto para cada uma das etapas de um ciclo de incidentes.
Estágio 3 – Triagem
O método de recepção de todo e qualquer indício de incidente é de suma importância, pois é com uma correta triagem da informação que se inicia todo o processo de catalogação e resposta ao incidente. Os grupos de resposta a incidentes comumente informam apenas um meio de contato ou “hotline”, seja para um grupo de resposta de âmbito nacional, privado ou mesmo dentro da organização. Essa triagem é importante para a aplicação correta do controle de segurança da informação impactado pelo incidente. Normalmente, esse con-trole também é atribuído a um gerente de incidente, profissional especializado no problema que estará à frente do incidente até a sua resolução.
Estágio 4 – Resposta a incidentes
Quando um incidente já passou pela triagem, ele é submetido ao plano de resposta a incidentes da organização. Nesse ponto, atividades anômalas são facilmente detectadas e a adoção de medidas apropriadas pode rapidamente identificar sistemas afetados, dimensio-nando o montante do prejuízo.
Grupos de resposta a incidentes
q
Prevenção:
1 Auditoria de segurança.
1 Treinamento e orientação a usuários.
1 Disseminação de informação relacionada à segurança. 1 Monitoração de novas tecnologias.
Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça
q
Resposta: 1 Tratamento de incidentes. 1 Tratamento de vulnerabilidades. 1 Qualidade de serviços de segurança. 1 Consultoria em segurança.1 Análise de riscos.
1 Planejamento e recuperação de desastres.
O maior desafio para os profissionais de segurança dos dias atuais é a gestão de uma complexa infraestrutura de comunicação de dados da internet, seu gerenciamento e manutenção. Na maioria das organizações, as equipes de profissionais em rede não contam com pessoal em quantidade suficiente para atender à demanda crescente de otimização de sistemas, atualização incessante de programas para minimizar riscos e defender-se contra ataques dos mais variados tipos. Esse cenário se torna pior à medida que surgem novas ferramentas de ataques, malwares, toolkits e a crescente organização de grupos que visam à paralisação e o roubo de dados na rede mundial de computadores.Nesse contexto, e para atender à necessidade de resposta a incidentes, surgem os grupos de resposta a incidentes, cujo objetivo é responder de maneira rápida e efetiva a essas ameaças. Esse grupo tem como objetivo desenvolver meios para identificar, analisar e responder a incidentes que venham a ocorrer, minimizando prejuízos e reduzindo seus custos de recuperação.
Os grupos de resposta a incidentes geralmente trabalham em duas frentes, prevenção e resposta.
Prevenção
Caracterizam-se como serviços proativos os serviços onde o grupo procura se antecipar aos problemas de maneira a preveni-los, gerando uma base de conhecimento para futura pes-quisa. Dentre as principais atividades de prevenção destacam-se a auditoria de segurança e o treinamento e orientação a usuários.
Auditoria de segurança
A auditoria de segurança dentro de uma empresa visa submeter seus ativos a uma análise de segurança com base nos requisitos definidos pela organização ou por normas internacio-nais. Também pode implicar na revisão das práticas organizacionais da empresa bem como testes em toda a sua infraestrutura. Nos dois últimos módulos deste treinamento, será abordado o processo de hardening para servidores Linux e Windows. Uma vez aprovado um processo de hardening, este pode ser utilizado para auditar a segurança de um ambiente, já que nesse documento encontra-se a configuração mínima recomendada para um ativo.
Treinamento e orientação a usuários
Uma das funções de um CSIRT também é a promoção de palestras e workshops sobre segu-rança dentro de uma organização. Essas palestras têm o intuito de informar aos usuários as políticas de seguranças vigentes e como se proteger de vários ataques, principalmente de engenharia reversa.
Disseminação de informação relacionada à segurança
A disseminação de informação é primordial para o sucesso de um grupo de resposta a incidentes. Essa disseminação pode ocorrer tanto dentro da organização, através de docu-mentos e boletins internos, como com a confecção de artigos para distribuição para outros
Se gu ra nç a d e R ed es e S is te m as
Monitoração de novas tecnologias
Um Grupo de Resposta a Incidentes monitora novos desenvolvimentos técnicos de ataques para ajudar a identificar novas tendências de futuras ameaças. Esse serviço envolve a leitura de fóruns e listas de discussão, sites e revistas especializadas.
Resposta
Os serviços reativos englobam atividades que são realizadas após algum evento ou requi-sição dentro da organização. Baseiam-se em análises de logs e produção de relatórios em função de alguma detecção de atividade maliciosa. Dentre as principais atividades de res-posta a incidentes, podemos destacar as seguintes.
Tratamento de incidentes
Segundo Chuvakin e Peikari, autores do livro Security Warrior, uma reposta a incidente é um processo de identificação, contenção, erradicação e recuperação de um incidente de compu-tador, realizado pelo time de segurança responsável.
O tratamento de incidentes é a principal atividade de um time de resposta a incidentes. São os incidentes que vão gerar todo o processo de identificação, classificação e tomada de decisão sobre quais procedimentos tomar para sanar o problema, quantas vezes o problema foi constatado dentro de um período, qual o impacto causado pelo incidente e se este obteve ou não sucesso.
Tratamento de vulnerabilidades
O tratamento de vulnerabilidades visa submeter os sistemas a uma auditoria a fim de saber quais suas fraquezas e como preveni-las através de mitigação de alguns serviços.
Essa metodologia está diretamente ligada à criação do plano de continuidade de negócios dentro de uma organização, pois, através das avaliações feitas, é possível fazer uma análise de risco e impacto para as vulnerabilidades encontradas.
Qualidade de serviços de segurança
A qualidade dos serviços de segurança proporciona aumento na experiência adquirida na prestação de serviços proativos e reativos descritos acima. Esses serviços são concebidos para incorporar os feedbacks e as lições aprendidas com base no conhecimento adquirido por responder a incidentes, vulnerabilidades e ataques.
Parte de um processo de gestão da qualidade da segurança pode melhorar a segurança a longo prazo, gerando base dados de incidentes e suas propostas para solução.
Consultoria em segurança
Um CSIRT pode ser utilizado para fornecer aconselhamento sobre as melhores práticas de segurança, principalmente dentro de um ambiente militar. Esse serviço pode ser utilizado na preparação de recomendações ou identificando requisitos para a aquisição, instalação ou obtenção de novos sistemas, dispositivos de rede, aplicações de software ou criação de pro-cessos. Esse serviço inclui proporcionar orientação e ajuda no desenvolvimento organiza-cional ou no círculo de políticas de segurança. Ele pode também envolver o aconselhamento às normas legais legislativas ou de outros órgãos governamentais.
Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça Análise de riscos
Um Grupo de Resposta a Incidentes pode ser capaz de acrescentar valor à análise de risco e avaliações. Isso pode melhorar a capacidade da organização para avaliar ameaças reais, fornecer avaliações qualitativas e quantitativas dos riscos para os ativos da organização e avaliar estratégias para melhor defesa.
Planejamento e recuperação de desastres
Com base em ocorrências anteriores e futuras previsões de tendências emergentes de inci-dentes de segurança, pode-se afirmar que quanto mais os sistemas de informação evoluem, mais aumenta a chance de acontecer um incidente. Por isso, o planejamento deve consi-derar os esforços e experiências passadas de um CSIRT.
Recomendações para determinar a melhor forma de responder a esses incidentes para garantir a continuidade das operações comerciais devem ser uma prioridade para a orga-nização. Grupos realizando esse serviço estão envolvidos em continuidade de negócios e recuperação de desastres, planejamento de eventos relacionados com a segurança informá-tica e ameaças ataques.
Fonte: CAIS RNP
Exercício de fixação 2
e
Processo de tratamento de incidentes
Explique os estágios do ciclo de vida de um incidente.
Exercício de fixação 3
e
Grupo de resposta a incidentes
O que é prevenção e como ela é feita na sua organização?
Normas ISO/ABNT
q
Histórico: BSI e ISO
1 ABNT NBR ISO/IEC 27001:2006 (SGSI) – passível de certificação. 1 ABNT NBR ISO/IEC 27002:2005 (código de prática).
1 ABNT NBR ISO/IEC 27005:2008 (gestão de riscos). 1 ABNT NBR ISO/IEC 27011:2009 (telecomunicações).
Um dos primeiros documentos criados para fins de normatização em meios computacionais foi o Security Control for Computers Systems, publicado em 11 de fevereiro de 1970 pela RAND Corporation, uma empresa norte-americana sem fins lucrativos especializada em asses-soria de investigação e análise, fundada em 1948, marcou o início da criação de um conjunto
Se gu ra nç a d e R ed es e S is te m as
de regras para a segurança de computadores. Mais tarde, o DoD (Departamento de Defesa dos Estados Unidos) publicou o Orange Book, conhecido também como Trusted Computer Evalution Criteria. Publicado inicialmente em 1978, em forma de um rascunho, foi finalizado em 1985. O Orange Book, mesmo sendo um documento já ultrapassado, marcou o início da busca por um conjunto de regras para a avaliação de um ambiente computacional seguro. Em 1987, o DTI (Departamento de Comércio e Indústria do Reino Unido) criou um centro de segurança de informações, que, entre suas atribuições, estava a de criar uma norma de segurança das informações do Reino Unido. Até 1988, vários documentos foram publicados. Em 1995, esse centro, denominado Commercial Computer Security Centre (CCSC), juntamente com o grupo britânico BSI, lança o BS7799:1995, Gestão de Segurança da Informação. Código de prática para sistemas de informação de gestão de segurança, essa norma é divida em duas partes: uma homologada em 2000 e, a outra, em 2002. É a base para a gestão de segurança da informação usada por entidades de metodologia de gestão da segurança da informação focada nos princípios básicos da segurança: Confidencialidade, Integridade e Disponibilidade. Em dezembro de 2000, a ISO (International Organization of Standadization ) internaciona-lizou a norma BS17799, criando a ISO/IEC 17799:2000, uma norma abrangente e interna-cional voltada para a gestão de segurança da informação.
O objetivo dessa norma era criar um conjunto de regras para assegurar a continuidade do negócio e minimizar prejuízos empresariais, reduzindo o impacto causado por incidentes de segurança. As normas da ISO baseadas em segurança da informação foram atualizadas e agrupadas na família de numeração 27000.
A ABNT (Associação Brasileira de Normas Técnicas ) publicou uma série de normas baseadas na ISO, traduzidas para o português.
1 ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de segurança – Sistema de gestão da segurança da informação – Requisitos. Versão atual da BS7799 parte 2. Essa norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI) documentado dentro do contexto dos riscos de negócio globais da organização. Essa norma especifica requisitos para implementar os controles de segu-rança personalizados para as necessidades individuais de organizações ou suas partes. 1 ABNT NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de segurança –
Código de prática para a gestão de segurança da informação. Versão atual da ISO/IEC 17799. Essa norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os obje-tivos definidos nessa norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão de segurança da informação.
1 ABNT NBR ISO/IEC 27003:2010 – Tecnologia da Informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação. Essa norma foca os aspectos críticos necessários para a implantação e o projeto bem-sucedido de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27001:2006. A norma descreve o processo de especificação e projeto do SGSI desde a sua concepção até a elaboração dos planos de implantação. Ela descreve o processo de obtenção de aprovação da direção para implementar um SGSI e fornece diretrizes sobre como planejar o projeto do SGSI.
Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça
1 ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Essa norma fornece diretrizes para o processo de gestão de riscos e segurança da informação. Norma criada para apoiar o entendimento das especificações e conceitos estabelecidos pela norma ABNT NBR ISO/IEC 27001:2006. Para aqueles que desejarem mais informação sobre esse assunto, logo abaixo são listadas as principais normas sobre segurança da informação:
1 ISO/IEC 27000: Information security management systems – Overview and vocabulary. 1 ISO/IEC 27003: Information security management system implementation guidance. 1 ISO/IEC 27004: Information security management measurements.
1 ISO/IEC 27006: Requirements for bodies providing audit and certification of information security management systems.
1 ISO/IEC 9797-1: Message Authentication Codes (MACs) – Part 1: Mechanisms using a block cipher.
1 ISO/IEC 9798-1: Entity authentication – Part 1: General.
1 ISO/IEC 9979: Procedures for the registration of cryptographic algorithms. 1 ISO/IEC 10118-1: Hashfunctions – Part 1: General.
1 ISO/IEC 11770-1: Key management – Part 1: Framework.
1 ISO/IEC 15846-1: Cryptographic techniques based on elliptic curves – Part 1: General. 1 ISO/IEC 18033-3: Encryption algorithms – Part 3: Block ciphers.
1 ISO/IEC 15408-1: Evaluation criteria for IT security – Part 1: Introduction and general model. 1 ISO/IEC 15408-2: Evaluation criteria for IT security – Part 2: Security functional.
1 ISO/IEC 15408-3: Evaluation criteria for IT security – Part 3: Security assurance.
1 ISO/IEC 15443-1: A framework for IT Security assurance – Part 1: Overview and framework. 1 ISO/IEC 15443-2: A framework for IT Security assurance – Part 2: Assurance Methods. 1 ISO/IEC 15443-3: A framework for IT Security assurance – Part 2: Analysis of Assurance Methods. 1 ISO/IEC 18045: A framework for IT Security assurance – Methodology for IT Security Evaluation. 1 ISO/IEC 18043: Selection, deployment and operations of intrusion detection systems. 1 ISO/IEC 18044: Information security incident management.
1 ISO/IEC 24762: Guidelines for information and communications technology disaster recovery services.
1 ISO/IEC 27033-1: Network Security – Part 1: Guidelines for network security.
1 ISO/IEC 27034-1: Guidelines for Application Security – Part 1: Overview and Concepts. 1 ISO/IEC 24760: A framework for identity management.
1 ISO/IEC 29100: A privacy framework.
1 ISO/IEC 29101: A privacy reference architecture. 1 ISO/IEC 29115: Entity authentication assurance.
Políticas de segurança
A Política de Segurança da Informação e Comunicações (POSIC) é o documento mais impor-tante de uma organização quando se trata de Segurança da Informação. Nela estão todas as diretrizes, recomendações e deveres de todos. O profissional de segurança deve conhecer
Se gu ra nç a d e R ed es e S is te m as
q
Outras políticas associadas à POSIC tratam de assuntos mais específicos, como por exemplo: 1 Política de Uso Aceitável (PUA).
1 Política de Controle de Acesso (PCA). 1 Plano de Continuidade de Negócio (PCN).
1 Política de senhas.Política de Salvaguarda (backup).
Esse assunto não faz parte diretamente do escopo deste curso, porém é importante conhecer todas as políticas e legislações do órgão em que se está implantando uma solução de segurança, pois elas podem impactar diretamente no que pode ou não ser feito, nas punições para o descumprimento da política e nos responsáveis pelas informações e recursos computacionais. A norma ABNT NBR ISO/IEC 27001 possui um capítulo inteira-mente dedicado às políticas de segurança.
No âmbito do Governo Federal, o Gabinete de Segurança Institucional (GSI) da Presidência da República, através do Departamento de Segurança da Informação e Comunicações, publicou uma série de instruções normativas com o objetivo de orientar a administração pública em diversas questões da Segurança da Informação.
q
Normas DSIC/GSIPR:
1 Norma Complementar nº 01/IN01/DSIC/GSIPR: Atividade de Normatização.
1 Norma Complementar nº 02/IN01/DSIC/GSIPR: Metodologia de Gestão de Segurança da Informação e Comunicações.
1 Norma Complementar nº 03/IN01/DSIC/GSIPR: Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Adminis-tração Pública Federal.
1 Norma Complementar nº 04/IN01/DSIC/GSIPR e seu anexo, Diretrizes para o Processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) nos órgãos e entidades da Administração Pública Federal.
1 Norma Complementar nº 05/IN01/DSIC/GSIPR e seu anexo, Disciplina e Criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da Administração Pública Federal.
1 Norma Complementar nº 06/IN01/DSIC/GSIPR: Diretrizes para a Gestão de Continui-dade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunica-ções, nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF). Em especial foi publicada a Instrução Normativa IN01-GSI/PR, que define orientações para a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, e algumas Normas Complementares:
1 Norma Complementar nº 01/IN01/DSIC/GSIPR: atividade de normatização, que tem como objetivo estabelecer critérios e procedimentos para a elaboração, atualização, alte-ração, aprovação e publicação de normas complementares sobre gestão de segurança da informação e comunicações, no âmbito da Administração Pública Federal.
1 Norma Complementar nº 02/IN01/DSIC/GSIPR: metodologia de Gestão de Segurança da Informação e Comunicações utilizada pelos órgãos e entidades da Administração Pública Federal.
Para aqueles que desejarem continuar seus estudos em políticas de segurança, visto que não é o objetivo principal deste curso, o instituto SANS (sans.org) oferece um modelo padrão de política de segurança que poderá ser adaptado e utilizado em qualquer ambiente computacional.
w
Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça
1 Norma Complementar nº 03/IN01/DSIC/GSIPR: estabelece diretrizes, critérios e proce-dimentos para a elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Adminis-tração Pública Federal.
1 Norma Complementar nº 04/IN01/DSIC/GSIPR: estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) considerando prioritariamente os objetivos estratégicos, os processos e requisitos legais e a estrutura dos órgãos ou entidades da Administração Pública Federal.
1 Norma Complementar nº 06/IN01/DSIC/GSIPR: estabelece diretrizes para Gestão da Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal.
1 Norma Complementar nº 07/IN01/DSIC/GSIPR: estabelece diretrizes para implemen-tação de controles de acesso relativos à Segurança da Informação e Comunicações, abrangendo a criação de contas de usuários, rede corporativa de computadores e ativos de informação. Essa norma contempla inclusive um anexo com um modelo de termo de responsabilidade a ser utilizado pelos utilizadores dos meios computacionais da entidade. 1 Norma Complementar nº 08/IN01/DSIC/GSIPR: disciplina o gerenciamento de
Inci-dentes de Segurança em Redes de Computadores realizado pelas equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais (ETIR) nos órgãos e entidades da APF (Administração Pública Federal).
1 Norma Complementar nº 09/IN01/DSIC/GSIPR: estabelece orientações para o uso de recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal, informando principalmente as responsabilidades tanto dos gestores de Segurança da Informação quanto do agente público que utilize esse recurso.
Mesmo para empresas privadas ou outras entidades, as normas podem servir como um bom embasamento para a criação da política de segurança, do grupo de resposta a incidentes de segurança ou do processo de gestão de riscos. Para a comodidade do aluno, o item 6 consta a NC 03, que trata de diretrizes para a elaboração de uma política de segurança (POSIC). É possível encontrar na web diversas políticas de segurança completas publicadas por órgãos públicos brasileiros. Um exemplo seria a Portaria/Incra/P/N° 70, de 29/03/2006 (DOU nº 62, de 30 de março de 2006).
Exercício de fixação 4
e
Políticas de segurança
O que é política de segurança? Ela existe na sua organização? As normas do DSIC/
GSIPR são públicas e podem ser obtidas no site do DSIC:
http://dsic.planalto.gov.br/