TECAD Solues CAD e Projecto Colaborativo Rua Sidnio Muralha, 5 - Loja A Vale Mouro 2635-477 Rio de Mouro Tel:

: 21 919 92 30 Fax: 21 919 92 39 Email: tecad@tecad.pt Web site: http://www.tecad.pt

EXEMPLO AUDITORIA DE SEGURANA

TECAD SISTEMAS INFORMATICOS

COPYRIGHT, TECAD-Sistemas Informticos, Lda Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

INDICE 1. Controlo do documento 1.1 Aprovao e controlo de alteraes .......................................................... 1.2 Alteraes a verses anteriores ............................................................... 1.3 Condies de reviso ............................................................................. 1.4 Documentos relacionados ....................................................................... 1.5 Reproduo e garantias .......................................................................... 1.6 Confidencialidade .................................................................................. 2. Objectivos ..................................................................................................... 3. Responsveis da segurana .......................................................................... 4. Documentos de implementao da segurana ............................................... 5. Sistemas de deteco e apoio a variveis ambientais .................................... 6. Actividades de reforo segurana ............................................................... 7. Controlo de acessos 7.1 Acesso fsico 7.2 Acesso lgico 7.2.1 7.2.2 7.2.3 Equipamentos servidores . Equipamentos de comunicao Estaes de trabalho . 7 7 7 8 8 8 8 8 9 9 9 7 3 3 3 3 3 3 4 6 6 6 6

8. Identificao de SPF (Single Point of Failure) 8.1 Geral . 8.2 Equipamentos servidores 8.3 Equipamentos de comunicaes .. 8.4 Estaes de trabalho . 9. Cpias de Segurana - Backups ..................................................................... 10. Sistema Antivrus .......................................................................................... 11. Actualizaes ................................................................................................ 12. Outras observaes .......................................................................................

13. Concluso ...................................................................................................... 10 Anexo A Scan de vulnerabilidades .................................................................... 11

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

1.

Controlo do documento

1.1

Aprovao e controlo de alteraes Revisto por Pedro Azevedo Data de Aprovao

Autor Pedro Azevedo

1.2

Alteraes a verses anteriores Verso 1.0 Data Comentrios Primeira verso do documento

Autor Pedro Azevedo

1.3

Condies de reviso

No existem condies de reviso do documento.

1.4

Documentos relacionados Ttulo Verso Data -

Documento -

1.5

Reproduo e garantias

Este documento no dever ser copiado no seu todo ou em parte, ou distribudo a terceiras partes sem prvia autorizao por escrito da TECAD SI.

1.6

Confidencialidade

Este documento contm informaes detalhadas acerca da rede e sistemas informticos da Exemplo. Por esta razo, este documento assume um estatuto de confidencialidade no devendo ser distribudo nem apresentado a pessoas externas empresa. Utilizadores internos com acesso autorizado a este documento: Nome Nome de utilizador Data de autorizao

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

2.

Objectivos

A percepo da realidade no mundo da informtica mudou. Actualmente as empresas conseguem perceber as inegveis vantagens estratgicas dos sistemas informticos, tornando o seu sucesso dependente das suas infra-estruturas tecnolgicas. Torna-se ento fundamental perceber o valor destes sistemas. H que quantificar o custo de ter um mau funcionamento num sistema to fulcral como este. Quanto custa o tempo de inactividade de um servidor? E quanto custa estar um dia sem acesso internet, sem poder usar o email ou qualquer outra ferramenta online? A segurana informtica ganha notoriedade na actualidade. Enquanto no passado havia o luxo da reactividade hoje exige-se cada vez mais a proactividade. Novas ameaas surgem e no s factores internos e controlveis, como o ciclo de vida natural da mquina, so tidos em conta. Actualmente deparamo-nos com ameaas externas e internas perpetuadas por indivduos na busca de acesso a informao sensvel, quer pela sua rentabilidade quer pelo simples prazer de a conseguir alcanar. Chegando a uma concluso inequvoca do valor dos sistemas informticos, torna-se necessrio implementar polticas e processos, que permitam manter um sistema com disponibilidade efectiva e segurana o mais perto possvel dos 100%. Pretende-se com o presente relatrio, documentar e clarificar o estado actual de segurana dos sistemas informticos da empresa Exemplo. A anlise ir ser efectuada em duas fases distintas, a recolha da informao e a concluso. O primeiro destes dois itens, a recolha de informao, ser feito do modo mais objectivo possvel atravs dos seguintes pontos previamente definidos: Responsveis da segurana Documentos de implementao da segurana Sistemas de deteco e apoio a variveis ambientais Actividades de reforo segurana Controlo de acessos Identificao de SPF (Single Point of Failure) Cpias de Segurana - Backup Sistema Antivrus Actualizaes

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

Estes itens sero documentados e classificados atravs dum sistema de trs cores (verde, laranja e vermelho), representativas do nvel de risco associado ao estado do item em questo: Nvel de Segurana Elevado Recomendao: Manuteno do sistema existente Nvel de Segurana Mdio Recomendao: Alteraes ao sistema existente Nvel de Segurana Reduzido Recomendao: Implementao de sistema

A segunda etapa da recolha de dados passa pela realizao de scan de vulnerabilidades a toda a rede (anexos). Em concluso, ser efectuada a anlise de toda a informao recolhida, sendo atribudo um nvel de segurana geral a toda a rede. Esta auditoria foi concebida especificamente para o mercado das micro e pequenas empresas, e aborda os itens que com mais frequncia representam falhas de segurana neste segmento de mercado. Deve ficar claro que empresas de maior dimenso, ou que pretendam um nvel de segurana mximo, devero requisitar uma auditoria mais elaborada TECAD SI.

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

3.

Responsveis da segurana

Responsvel Primrio Responsvel Secundrio Nvel mdio de segurana

Apolinrio Silva No Mdio

4.

Documentos de implementao da segurana

Plano Global de Segurana Poltica de Segurana Plano de Recuperao de Desastres Manual de Rede Nvel mdio de segurana

No No No Sim mas desactualizado Reduzido

5.

Sistemas de deteco e apoio a variveis ambientais

Deteco de fumos Sistemas de extino de incndios Existncia de proteco a picos de corrente Sistema de redundncia energtica Controlo de temperatura Controlo de humidade Nvel mdio de segurana

No No Sim Sim Apenas no datacenter No Mdio

6.

Actividades de reforo segurana

Auditorias de segurana peridicas Formao inicial de utilizadores Formao contnua de utilizadores Formao contnua dos responsveis pela segurana Nvel mdio de segurana

No Sim No Sim

Mdio

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

7.

Controlo de acessos

7.1

Acesso fsico No Datacenter com porta aberta Em bastidor aberto Datacenter com porta aberta Em bastidor aberto No No No Mdio

Monitorizao de entradas e sadas por circuito interno de TV Equipamentos de comunicao em zonas de acesso reservado Equipamentos de comunicao em bastidor fechado Equipamentos servidores em zonas de acesso reservado Equipamentos servidores em bastidor fechado Controlo de acessos a reas por mtodos seguros Alarme de permetro Suportes com informao sensvel guardados em cofres ignfugos Nvel mdio de segurana

7.2 7.2.1

Acesso lgico Equipamentos servidores Sim Sim No definido Nmeros e caracteres especiais (10 caract.) Mdio

Alterao do nome da conta de administrao Desactivao da conta de convidado Intervalo para alterao de passwords Complexidade da password Nvel mdio de segurana 7.2.2 Equipamentos de comunicao

Alterao de valores predefinidos Intervalo para alterao de passwords Complexidade da password Nvel mdio de segurana

Sim No definido Alfanumrica (8 caract.) Mdio

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

7.2.3

Estaes de trabalho Estaes de trabalho sem password Estaes de trabalho sem password Baixo

Intervalo para alterao de passwords Complexidade da password Nvel mdio de segurana

8. 8.1

Identificao de SPF (Single Point of Failure) Geral Sim Elevado

Redundncia energtica Nvel mdio de segurana 8.2 Equipamentos servidores

Redundncia de fontes de alimentao Redundncia de discos rgidos Mnimo de dois DC por domnio Realizao de backups em duplicado Nvel mdio de segurana 8.3

Apenas no KDADOS Apenas no KDADOS Sim No Mdio

Equipamentos de comunicaes No No Reduzido

Existncia de equipamento de reserva Linha de backup Nvel mdio de segurana 8.4 Estaes de trabalho

Existncia de pelo menos uma estao de trabalho de reserva Nvel mdio de segurana

Sim Elevado

9.

Cpias de Segurana - Backups

Periodicidade do backup Backups efectuados em duplicado Deslocalizao do backup Suporte guardado em cofre ingnfugo Nvel mdio de segurana

Semanal No No No Reduzido

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

10.

Sistema Antivrus

Sistema antivrus implementado Sistema de gesto central Cobertura total da rede Poltica de scans peridicos a estaes de trabalho Poltica de scans peridicos a equipamentos servidores Realtime protection Nvel mdio de segurana

Sim Sim Sim Sim (21/28) Dirio Sim Elevado

11.

Actualizaes

Servidor interno de actualizaes das sistemas operativos Poltica de actualizao do sistema operativo dos servidores Poltica de actualizao do sistema operativo das estaes de trabalho Sistema operativo dos servidores actualizado Sistema operativo das estaes de trabalho actualizado Nvel mdio de segurana

No No definido - manual No definido - manual Sim Apenas algumas Mdio

12.

Outras observaes

Telnet do router acessvel a partir do exterior Nvel mdio de segurana Baixo

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

10

13.

Concluso

Aps a anlise de todos os dados recolhidos, podemos organizar a informao por uma classificao ordenada por risco: Sistema Antivrus

Responsveis da segurana Sistemas de deteco e apoio a variveis ambientais Actividades de reforo segurana Controlo de acessos Identificao de SPF (Single Point of Failure) Actualizaes

Documentos de implementao da segurana Backups Outras observaes Cruzando estes dados com a anlise dos resultados dos scans de vulnerabilidades, conclui-se o nvel global de segurana da empresa Exemplo:

Nvel global de segurana

Mdio

Aps anlise detalhada, conclui-se que existem algumas falhas de segurana, que devem ser corrigidas a curto prazo como medida proactiva de preveno de dano. Recomenda-se ateno prioritria para as trs classes onde se obtm resultados negativos: Documentos de implementao da segurana, Backups e Outras observaes. Algum trabalho nestas reas poderia melhorar significativamente o nvel segurana global. Posteriormente deverse-ia melhorar tambm os itens que obtm uma classificao mdia: Responsveis da segurana, Sistemas de deteco e apoio a variveis ambientais, Actividades de reforo segurana, Controlo de acessos, Identificao de SPF (Single Point of Failure) e Actualizaes.

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

TECAD SI Auditoria de Segurana

11

ANEXO 1

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda

tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

CONFIDENTIAL INFORMATION
The following report contains company confidential information. Do not distribute, email, fax, or transfer via any electronic mechanism unless it has been approved by the recipient company's security policy. All copies and backups of this document should be saved on protected storage at all times. Do not share any of the information contained within this report with anyone unless they are authorized to view the information. Violating any of the previous instructions is grounds for termination.

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

Report Created By TECAD SI CLIENTE

Report Created For

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

NETWORK ANALYSIS RESULTS Report Summary Scanner Name Scanner Version Scan Start Date Scan Start Time Scan Duration Scan Name Scan Status Retina 5.4.5.1355 28-12-2005 12:01:00 0h 1m 0s KADMIN Completed Machines Scanned Vulnerabilities Total High Risk Vulnerabilities Medium Risk Vulnerabilities Low Risk Vulnerabilities Information only Audits Credential Used 1 1 1 0 0 1 - Null Session -

Top 5 Most Vulnerable Hosts

Num. of Vulnerabilities By Risk

% of Vulnerabilities By Risk

Avg. of Vulnerabilities By Risk

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

TOTAL VULNERABILITIES BY CATEGORY The following is an overview of the total vulnerabilities by audit category. Accounts AIX Local Security Audits

Anti-Virus

Backdoors

Caldera Local Security Audits

CGI Scripts

Cisco Local Security Audits Cisco Local Security Audits

Conectiva Local Security Audits

Database

Debian Local Security Audits

DNS Services

DoS

EnGarde Local Security Audits

Fedora Local Security Audits

FreeBSD Local Security Audits

FTP Servers

Gentoo Local Security Audits

HPUX Local Security Audits

Immunix Local Security Audits

IP Services

IRIX Local Security Audits

Local UNIX Security Audits

MacOS X Local Security Audits

Mail Servers

Mandrake Local Security Audits

Miscellaneous

NetBIOS

NetBSD Local Security Audits

OpenBSD Local Security Audits

Peer-To-Peer P2P File Sharing Applications

RedHat Local Security Audits

Registry

Remote Access

RPC Services

SCO Local Security Audits

Service Control

Slackware Local Security Audits

SNMP Servers

Solaris Local Security Audits

Spyware

SSH Servers

SuSE Local Security Audits

Trustix Local Security Audits

TurboLinux Local Security Audits

Web Servers

Windows

Wireless

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

TOP 20 VULNERABILITIES The following is an overview of the top 20 vulnerabilities on your network. Rank 1. 2. Vulnerability Name Null Session No Remote Registry Access Available Count 1 1

Top 20 Vulnerabilities

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

TOP 20 OPEN PORTS The following is an overview of the top 20 open ports on your network. Rank 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Port Number TCP:25 TCP:53 TCP:80 TCP:88 TCP:135 TCP:139 TCP:389 TCP:445 TCP:464 TCP:593 TCP:636 TCP:2232 UDP:53 UDP:88 UDP:123 UDP:135 UDP:137 UDP:138 UDP:389 UDP:445 Description SMTP - Simple Mail Transfer Protocol DOMAIN - Domain Name Server WWW-HTTP - World Wide Web HTTP (Hyper Text Transfer Protocol) KERBEROS - Kerberos RPC-LOCATOR - RPC (Remote Procedure Call) Location Service NETBIOS-SSN - NETBIOS Session Service LDAP - Lightweight Directory Access Protocol MICROSOFT-DS - Microsoft-DS KPASSWD - kpasswd HTTP-RPC-EPMAP - HTTP RPC Ep Map LDAPSSL - LDAP Over SSL IVS-VIDEO - IVS Video default DOMAIN - Domain Name Server KERBEROS - Kerberos NTP - Network Time Protocol RPC-LOCATOR - RPC (Remote Procedure Call) Location Service NETBIOS-NS - NETBIOS Name Service NETBIOS-DGM - NETBIOS Datagram Service LDAP - Lightweight Directory Access Protocol MICROSOFT-DS - Microsoft-DS Count 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

Top 20 Open Ports

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

TOP 20 RUNNING SERVICES The following is an overview of the top 20 running services on your network. Rank 1. 2. 3. 4. 5. Name _Browser _LanmanServer _LanmanWorkstation _Netlogon _RpcSs Description Count 1 1 1 1 1

Top 20 Running Services

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

TOP 20 OPERATING SYSTEMS The following is an overview of the top 20 operating systems on your network. Rank 1. Operating System Name Windows Server 2003 Count 1

Top 20 Operating Systems

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

TOP 20 USER ACCOUNTS The following is an overview of the top 20 user accounts on your network. Rank Account Name No Users Discovered Count

Top 20 User Accounts No Users Discovered

Retina - Network Security Scanner

Network Vulnerability Assessment & Remediation Management 28-12-2005

TOP 20 NETWORK SHARES The following is an overview of the top 20 network shares on your network. Rank 1. 2. 3. 4. 5. 6. 7. 8. 9. Share Name ADMIN$ C$ D$ F$ IPC$ NETLOGON SYSVOL VPHOME VPLOGON Count 1 1 1 1 1 1 1 1 1

Top 20 Network Shares