Politicas Seguranca

www.projetoderedes.kit.
net
Polticas de Segurana
Neste documento h uma srie de referncias para polticas de segurana. Seguidamente, estas referncias
incluiro recomendaes para polticas especficas.
Introduo:
2.1 - O que uma poltica de segurana? Pr que ter uma?
As decises que oc como administrador toma ou dei!a de tomar, relacionadas " segurana, iro
determinar quo segura ou insegura a sua rede, quantas funcionalidades ela ir oferecer, e qual ser a
facilidade de utili#$la. No entanto, oc no consegue tomar %oas decises so%re segurana, sem antes
determinar quais so as suas metas de segurana. At que oc determine quais se&am elas, oc no
poder fa#er uso efetio de qualquer coleo de ferramentas de segurana pois oc simplesmente no
sa%er o que checar e quais restries impor.
'(r e!emplo, seus o%&etios proaelmente sero muito diferentes dos que so definidos p(r um endedor
de produto. )s endedores procuram dei!ar a configurao e a operao de seus produtos o mais
simplificado possel, o que implica que as configuraes default normalmente sero %astante to a%ertas
*e p(r conseguinte inseguras+ quanto possel. Se p(r uma lado isto torna o processo de instalao de
noos produtos mais simples, tam%m dei!a acessos a%ertos, para qualquer usurio.
Seus o%&etios deem ser determinados a partir das seguintes determinantes,
-. Servios oferecidos versus Segurana fornecida $ .ada serio oferecido para os usurios carrega
seu pr/prios riscos de segurana. 'ara alguns serios, o risco superior que o %enefcio do
mesmo, e o administrador dee optar p(r eliminar o serio ao ins de tentar torn$lo menos
inseguro.
0. Facilidade de uso versus Segurana $ ) sistema mais fcil de usar deeria permitir acesso a
qualquer usurio e no e!igir senha, isto , no haeria segurana. Solicitar senhas torna o
sistema um pouco menos coneniente, mas mais seguro. 1equerer senhas 2one$time2 geradas p(r
dispositios, torna o sistema ainda mais difcil de utili#ar, mas %astante mais seguro.
3. Custo da segurana versus o Risco da perda $ 4 muitos custos diferentes para segurana,
monetrio *o custo da aquisio de hard5are e soft5are como fire5alls, e geradores de senha
2one$time2+, performance *tempo cifragem e decifragem+, e facilidade de uso. 4 tam%m muitos
neis de risco, perda de priacidade *a leitura de uma informao p(r indiduos no
autori#ados+, perda de dados *corrupo ou deleo de informaes+, e a perda de serios
*ocupar todo o espao disponel em disco, impossi%ilidade de acesso " rede+. .ada tipo de custo
dee ser contra$%alanado ao tipo de perda.
Seus o%&etios deem ser comunicados a todos os usurios, pessoal operacional, e gerentes atras de um
con&unto de regras de segurana, chamado de 2poltica de segurana2. N/s utili#amos este termo ao ins
de 2poltica de segurana computacional2, uma e# que o escopo inclui todos os tipos de tecnologias de
informao e informaes arma#enadas e manipuladas pela tecnologia.
2.1.1 - !e"inio de uma poltica de segurana
6ma poltica de segurana a e!presso formal das regras pelas quais fornecido acesso aos recursos
tecnol/gicos da empresa.
2.1.2 - Prop#sitos de um poltica de segurana
) principal prop/sito de uma poltica de segurana informar aos usurios, equipe e gerentes, as suas
o%rigaes para a proteo da tecnologia e do acesso " informao. A poltica dee especificar os
mecanismos atras dos quais estes requisitos podem ser alcanado. )utro prop/sito oferecer um ponto
de referncia a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para
-
www.projetoderedes.kit.net
que se&am adequados aos requisitos propostos. 'ortanto, uma tentatia de utili#ar um con&unto de
ferramentas de segurana na ausncia de pelo menos uma poltica de segurana implcita no fa# sentido.
6ma poltica de uso apropriado *Appropriate $ ou Accepta%le $ 6se 'olic7 $ A6'+ pode tam%m ser parte
de uma poltica de segurana. 8la deeria e!pressar o que os usurios deem e no deem fa#er em
relao aos diersos componentes do sistema, incluindo o tipo de trfego permitido nas redes. A A6'
dee ser to e!plcita quanto possel para eitar am%iguidades ou maus entendimentos. '(r e!emplo,
uma A6' pode lista ne5sgroups 6S8N89 proi%idos.
2.1.$ - %uem de&e ser en&ol&ido na "ormulao da poltica?
'ara que uma poltica de segurana se torne apropriada e efetia, ela dee ter a aceitao e o suporte de
todos os neis de empregados dentro da organi#ao. : especialmente importante que a gerncia
corporatia suporte de forma completa o processo da poltica de segurana, caso contrrio haer pouca
chance que ela tenha o impacto dese&ado. A seguinte lista de indiduos deeria estar enolida na criao
e reiso dos documentos da poltica de segurana,
) administrador de segurana do site
) pessoal tcnico de tecnologia da informao
)s Administradores de grandes grupos de usurios dentro da organi#ao
A equipe de reao a incidentes de segurana
)s 1epresentantes de grupos de usurios afetados pela poltica de segurana
) .onselho ;egal
A lista acima representatia para muitas organi#aes que tem controle acionrio, mas no
necessariamente para todas. A idia tra#er representaes dos mem%ros, gerentes com autoridade so%re
o oramento e poltica, pessoal tcnico que sai%a o que pode e o que no pode ser suportado, e o conselho
legal que conhea as decorrncias legais das rias polticas. 8m algumas organi#aes, pode ser
apropriado incluir pessoal de auditoria. 8noler este grupo importante se as poltica resultante deer
alcanar a maior aceita%ilidade possel. 9am%m importante mencionar que o papel do conselho legal
ir ariar de pas para pas.
2.2 O que "a' uma (oa poltica de segurana?
As caractersticas de uma %oa poltica de segurana so,
-. 8la dee ser implementel atras de procedimentos de administrao, pu%licao das regras de
uso aceiteis, ou outros mtodos apropriados.
0. 8la dee ser e!igida com ferramentas de segurana, onde apropriado, e com sanes onde a
preeno efetia no se&a tecnicamente possel.
3. 8la dee definir claramente as reas de responsa%ilidade para os usurios, administradores e
gerentes.
)s componentes de uma %oa poltica de segurana incluem,
-. <uias para a compra de tecnologia computacional que especifiquem os requisitos ou
caractersticas que os produtos deem possuir.
0. 6ma poltica de priacidade que defina e!pectatias ra#oeis de priacidade relacionadas a
aspectos como a monitorao de correio eletr(nico, logs de atiidades, e acesso aos arquios dos
usurios.
3. 6ma poltica de acesso que define os direitos e os priilgios para proteger a organi#ao de
danos, atras da especificao de linhas de conduta dos usurios, pessoal e gerentes. 8la dee
oferecer linhas de condutas para cone!es e!ternas, comunicao de dados, cone!o de
dispositios a uma rede, adio de noos soft5ares, etc. 9am%m dee especificar quaisquer
mensagens de notificao requeridas *p(r e!emplo, mensagens de cone!o deem oferecer aiso
so%re o uso autori#ado, e monitorao de linha, e no simplesmente 25elcome2.
0
=. 6ma poltica de conta%ilidade que defina as responsa%ilidades dos usurios. >ee especificar a
capacidade de auditoria, e oferecer a conduta no caso de incidentes *p(r e!emplo, o que fa#er e a
quem contactar se for detectada uma possel intromisso.
?. 6ma poltica de autenticao que esta%elea confiana atras de uma poltica de senhas efetia,
e atras da linha de conduta para autenticao de acessos remotos e o uso de dispositios de
autenticao.
@. 6m documento de disponi%ilidade que define as e!pectatias dos usurios para a disponi%ilidade
de recursos. 8le dee enderear aspectos como redundAncia e recuperao, %em como especificar
horrios de operao e de manuteno. 8le tam%m dee incluir informaes para contato para
relatar falhas de sistema e de rede.
B. 6m sistema de tecnologia de informao e poltica de manuteno de rede que descrea como
tanto o pessoal de manuteno interno como e!terno deem manipular e acessar a tecnologia. 6m
t/pico importante a ser tratado aqui como a manuteno remota permitida e como tal acesso
controlado. )utra rea para considerar aqui a terceiri#ao e como ele gerenciada.
C. 6ma poltica de relat/rio de iolaes que indique quais os tipos de iolaes deem ser
relatados e a quem estes relatos deem ser feitos. 6ma atmosfera de no ameaa e a possi%ilidade
de denDncias an(nimas ir resultar uma grande pro%a%ilidade que uma iolao se&a relatada.
E. Suporte a informao que oferea aos usurios informaes para contato para cada tipo de
iolaoF linha de conduta so%re como gerenciar consultas e!ternas so%re um incidente de
segurana, ou informao que se&a considerada confidencial ou proprietriaF referncias cru#adas
para procedimentos de segurana e informaes relacionadas, tais como as polticas da
companhia e leis e regulamentaes goernamentais.
'ode haer requisitos regulat/rios que afetem alguns aspectos de sua poltica de segurana *como a
monitorao+. )s criadores da poltica de segurana deem considerar a %usca de assistncia legal na
criao da mesma. No mnimo, a poltica dee ser reisada p(r um conselho legal.
6ma e# que a poltica tenha sido esta%elecida ela dee ser claramente comunicada aos usurios, pessoal
e gerentes. >ee$se criar um documento que os usurios assinem, di#endo que leram, entenderam e
concordaram com a poltica esta%elecida. 8sta uma parte importante do processo. Ginalmente sua
poltica dee ser reisada regularmente para erificar se ela est suportando com sucesso suas
necessidades de segurana.
2.$ - )antendo a poltica "le*&el
No intuito de tornar a poltica iel a longo pra#o, necessrio %astante fle!i%ilidade %aseada no
conceito de segurana arquitetural. 6ma poltica dee ser largamente independente de hard5are e
soft5ares especficos. )s mecanismos para a atuali#ao da poltica deem estar claros. Hsto inclui o
processo e as pessoas enolidas.
9am%m importante reconhecer que h e!pectatias para cada regra. Sempre que possel a poltica
dee e!pressar quais e!pectatias foram determinadas para a sua e!istncia. '(r e!emplo, so% que
condies um administrador de sistema tem direito a pesquisar nos arquios do usurio. 9am%m pode
haer casos em que mDltiplos usurios tero acesso " mesma userid. '(r e!emplo, em sistemas com um
usurio root, mDltiplos administradores de sistema tale# conheam a senha e utili#em a conta.
)utra considerao chamada a 2Sndrome do .aminho de ;i!o2. Hsto se refere a o que pode acontecer
ao um site se uma pessoa chae repentinamente no este&a mais disponel para sua funo *ficou doente
ou dei!ou a companhia+. 8nquanto a grande segurana reside na mnima disseminao de informao, o
risco de perder informao crtica cresce quando a informao no compartilhada. : importante
determinar qual o peso ideal desta medida em seu site.
3
$. +rquitetura
$.1 O(,eti&os
$.1.1 Planos de Segurana -ompletamente !e"inidos
9odos os sites deem definir um amplo plano de segurana, que dee ser de mais alto nel que as
polticas discutidas no captulo 0, e dee ser pro&etado como um frame5orI de o%&etios amplos nos quais
polticas especficas se enquadraro.
: importante ter esse frame5orI de tal maneira que polticas indiiduais possam ser consistentes dentro
de todo o conte!to da arquitetura de segurana do site. '(r e!emplo, ter uma poltica forte em relao ao
acesso pela Hnternet e ter %ai!as restries no uso do modem inconsistente dentro de uma filosofia de
fortes restries no que di# respeito ao acesso e!terno.
6m plano de segurana dee definir, a lista de serios de rede que sero proidosF quais reas da
organi#ao proero os seriosF quem ter acesso aos seriosF como o acesso ser proidoF quem
administrar esses seriosF etc.
) plano tam%m dee indicar como incidentes sero tratados. .aptulo ? pro uma discusso profunda
neste t/pico, mas importante que cada site defina classes de incidentes e reaes correspondentes. '(r
e!emplo, sites com fire5alls deem setar um nDmero de tentatias de ataque suportado antes de tomar
uma aoJ Neis de ao deem ser definidos para todos os ataques e respostas. Sites com fire5alls
deem determinar se uma simples tentatia de cone!o a um host constitui um incidente ou no. 8 em
relao " procura sistemtica de sistemasJ
'ara sites conectados " Hnternet, o nDmero significatio de incidentes relatados em relao " segurana
pode se fa#er esquecer dos incidentes internos " rede. >a mesma maneira, organi#aes no conectadas "
Hnternet deem ter planos fortes e %em definidos de poltica de segurana interna.
$.1.2 Separao de Ser&ios
8!istem muitos serios que um site dee proer para seus usurios, alguns dos quais podem ser
e!ternos. 4 uma ariedade de ra#es para isolar os serios em hosts dedicados. 4 tam%m ra#es de
performance em muitos casos, e uma discusso detalhada ser feita neste documento.
)s serios que um site dee proer tero, em muitos casos, neis diferentes de acesso e modelos de
confiana. : melhor colocar serios que so essenciais " segurana ou operao do site em mquinas
dedicadas com acesso limitado do que em uma mquina que pro serio*s+ menos seguro*s+, ou que
requer acesso p(r parte dos usurios, que podem acidentalmente %urlar a segurana.
: tam%m releante distinguir entre hosts que operam em diferentes modelos e confiana *isto , todos os
hosts da rede interna ersus hosts da rede e!terna+.
Alguns dos serios que so potencialmente separeis so discutidos na sesso importante lem%rar que
segurana to forte quanto a corrente em relao ao menor elo. Kuitos dos
ataques conhecidos nos anos recentes tm sido feitos p(r e!plorao de ulnera%ilidades nos sistemas de
correio eletr(nico. )s intrusos no querem acesso ao correio eletr(nico, mas usar as suas ulnera%ilidades
para ganhar acesso a outros sistemas.
Se possel, cada serio dee estar sendo e!ecutado em mquinas diferentes que tm como o Dnico
o%&etio proer aquele serio. Assim, fica mais fcil isolar intrusos e limitar falhas potenciais.
$.1.$ .loquear tudo / Permitir tudo
8!istem 0 filosofias diametricamente opostas que podem ser adotadas quando se define um plano de
segurana. Am%as as alternatias so modelos legtimos a se adotar, e a escolha entre uma ou outra
depende do site e suas necessidades de segurana.
=
A primeira opo retirar todos os serios e ento ha%ilit$los seletiamente, considerando$os caso a
caso. Hsto pode ser feito no nel de host ou rede, o mais apropriado. 8ste modelo, referenciando como
2%loquear tudo2, geralmente mais seguro do que o outro, descrito no pr/!imo pargrafo. 'orm, a
configurao requer mais tra%alho e compreenso dos serios. 'ermitir somente serios conhecidos
para uma melhor anlise de um particular serioLprotocolo e o pro&eto de um mecanismo de segurana
ca%em no nel de segurana do site.
) outro modelo, referenciado como 2permitir tudo2, mais fcil de implementar, mas geralmente
menos seguro que o outro. Simplesmente ligar todos os serios *a nel de host+ e permitir a todos os
protocolos que trafeguem na rede *a nel de roteador+. .omo os %uracos de segurana ficam aparentes,
eles so restritos aos neis de host e rede.
.ada um dos modelos pode ser aplicado a diferentes pores do site, dependendo dos requerimentos das
funcionalidades, do controle administratio, da poltica de segurana, etc. '(r e!emplo, a poltica pode
ser usar 2permitir tudo2 quando se trata de estaes de uso geral, mas 2%loquear tudo2 quando se trata de
seridores de informaes, como seridores de email. >a mesma forma, 2permitir tudo2 pode ser
empregado no trfego entre su%redes internas, mas 2%loquear tudo2 pode ser adotado na comunicao
com a Hnternet.
>ee$se tomar cuidados quando se mistura as duas filosofias. 9omar cuidado somente com usurios
e!ternos pode no ser a melhor filosofia, pois usurios internos " rede podem no ser confieis. 8 a
partir do momento que um usurio e!terno entra na rede *passando p(r um fire5all+ ele tem acesso a
tudo, pois no h isolamento interno.
$.1.0 Identi"icao das 1eais 2ecessidades de Ser&ios
4 uma grande ariedade de serios que podem ser proidos, tanto internamente quanto na Hnternet.
<erenciar segurana , em muitos casos, gerenciar o acesso a serios internos ao site e como o acesso
interno a serios e!ternos se dar.
)s serios tendem a se disseminar como ondas na Hnternet. Atras dos anos muitos sites criaram
seridores de, G9' an(nimos, gopher, 5ais, MMM, etc, seguindo a moda quando eles se tornaram
populares, mas sem lear em conta a necessidade real deles. >ee$se aaliar cada noo serio em
relao " sua necessidade real, esquecendo$se do modismo.
: %om ter$se em mente que a comple!idade de segurana pode crescer e!ponencialmente com o nDmero
de serios proidos. 1oteadores$filtros precisam ser modificados para suportar noos protocolos. Alguns
protocolos so inerentemente difceis de se filtrar seguramente *como 1'. e 6>'+, assim a%rindo$se
noas portas ao mundo interno. Serios proidos pela mesma mquina podem interagir de modos
catastr/ficos, p(r e!emplo, G9' an(nimo com MMM permite que um atacante coloque um arquio na
rea de G9' e faa com que o seridor 499' o e!ecute.
$.2 -on"igurao de Ser&ios e 1ede
$.2.1 Proteo da In"ra-estrutura
Kuitos administradores de rede protegem %em seus hosts, mas poucos so os que fa#em a tarefa de
proteger a rede. 8!iste ra#o para isso. <eralmente o o%&etio so dados de seridores, pois os atacantes
no tiraro proeito atacando os dados da rede, em%ora isso no desmerea a necessidade de sua proteo,
pois um ataque comum nos dados da rede a procura p(r senhas de logins alheios. Kas a proteo da
infra$estrutura tam%m di# respeito " gerncia de rede *SNK'+, serios *>NS, NGS, N9', MMM, ...+ e
segurana propriamente dita *autenticao e restries de acesso+.
A infra$estrutura tam%m pede proteo dos erros humanos. Nuando um administrador no configura %em
um host, ele pode oferecer um mau serio. Hsto pode afetar somente os usurios daquele host, e ao menos
que se&a um seridor primrio daquele serio, o nDmero de usurios afetados ser limitado. 8ntretanto,
se um roteador est mal configurado, todos os usurios que usarem a rede sero afetados.
?
$.2.2 Proteo da 1ede
8!istem muitos ataques nos quais as redes se tornam ulnereis. ) ataque clssico o 2denial of
serice2. Neste caso, a rede leada a um estado no qual no consegue mais transmitir dados de usurios
legtimos. 4 duas maneiras de como isso pode ser feito, atacando os roteadores e enchendo a rede com
trfego estranho. Note$se que o termo roteador usado para representar toda a classe de equipamentos de
intercone!o, nos quais se incluem fire5alls. seridores$pro!7, etc.
6m ataque num roteador feito para impedi$lo de transmitir pacotes adiante, ou transmiti$los de forma
errada. Hsso pode ser feito deido a uma m configurao, a in&eo de atuali#ao daninha de informao
de roteamento, ou atras de um 2flood atacI2 , ou se&a, o roteador %om%ardeado com pacotes no
roteeis, fa#endo sua performance decair. 6m 2flood atacI2 em uma rede similar em relao a um
roteador, e!ceto que os pacotes so %roadcast. 6m ataque ideal deste tipo seria a in&eo de um Dnico
pacote que requeresse que todas as estaes o retransmitisse, ou gerar pacotes de erro, cada um tam%m
repetido pelas outras estaes. 6m ataque deste tipo %em feito pode sempre gerar uma e!ploso
e!ponencial de transmisses.
6m outro ataque o 2spoofing2. Neste caso, pacotes malficos com informaes erradas so%re
roteamento so eniados a um ou mais roteadores fa#endo com que eles roteem errado. 8ste ataque difere
do primeiro somente no prop/sito do roteamento. No ataque anterior, o o%&etio era dei!ar o roteador
inutili#el, um estado facilmente detectado pelos usurios da rede. No 2spoofing2 os pacotes so
eniados a algum host onde eles podem ser monitorados e depois reeniados a seu destino correto, tendo
seu conteDdo alterado ou no.
A soluo para a maioria desses casos proteger os pacotes de atuali#ao de roteamento de protocolos
como 1H'$0 e )S'G. 8!istem 3 neis de proteo, senha te!tual, checIsum criptografado e criptografia.
Senhas oferecem a mnima proteo contra intrusos que no tm acesso " rede fsica. 9am%m protegem
roteadores mal configurados *ou se&a, roteadores que no deeriam rotear pacotes+. A antagem de senhas
que elas tm um %ai!o oerhead, tanto em tempo de transmisso como de .'6. .hecIsums protegem
contra a in&eo de pacotes daninhos, at mesmo se o intruso tem acesso " rede fsica. .om%inado com
um nDmero de seqOncia, ou outro identificador Dnico, o checIsum pode tam%m detectar ataques de
retransmisso, onde uma informao mais antiga est sendo retransmitida, se&a p(r um intruso ou roteador
mal configurado. ) melhor proer criptografia completa das seqOncias, ou unicamente identificadas,
ta%elas de roteamento. Hsso impede um intruso de determinar a topologia da rede. A desantagem da
criptografia o oerhead enolido no processamento.
9anto 1H'$0 *1G. -B03+ como )S'G *1G. -?C3+ suportam senhas te!tuais nas suas especificaes
%sicas de pro&eto. 8 e!istem e!tenses para cada protocolo suportar o algoritmo de criptografia K>?.
Hnfeli#mente no h proteo adequada a um ataque 2flooding2 , mas feli#mente esse ataque /%io
quando ocorre e geralmente pode ser terminado de forma relatiamente fcil.
$.2.$ Proteo dos Ser&ios
8!istem muitos tipos de serios e cada um tem seus pr/prios requerimentos de segurana, que o ariar
%aseado no uso do serio. '(r e!emplo, um serio que poderia ser usado dentro de um site *NGS+
requer mecanismos de proteo diferentes de outros serios usados e!ternamente " rede. 'ode ser
suficiente proteger o seridor de acesso e!terno, mas um seridor MMM, que pro documentos que
deem ser istos p(r usurios da Hnternet, requer uma forte proteo, para impedir que se modifique o
%anco de dados da Me% p(r pessoas e!ternas " rede.
Serios internos *usados pelos usurios do site+ e serios e!ternos *deli%eradamente permitidos para
uso p(r usurios da internet+ tero, de uma maneira geral, requerimentos de proteo diferentes dos &
descritos. : %om isolar os serios internos em um con&unto de seridores diferente do con&unto de
seridores de serios e!ternos, ou se&a, %om no se dei!ar todos os serios no mesmo*s+ host*s+. Na
realidade, muitos sites o alm e tm um con&unto de su%redes *ou at redes diferentes+ que so
acesseis de fora do site e outro con&unto acessel somente de dentro do site. .laro, h usualmente
@
fire5alls conectando estes con&untos. 6m grande cuidado dee$se tomar a fim de garantir o
funcionamento correto da fire5all.
4 um grande interesse em se usar intranets na cone!o com diferentes partes da organi#ao *diises da
companhia+. 8nquanto este documento diferencia rede interna de rede e!terna *priada e pD%lica+, sites
com intranets deem estar atentos que eles precisaro considerar 3 separaes e tomar aes apropriadas
quando pro&etando e oferecendo serios. 6m serio proido a uma intranet no dee se tornar pD%lico,
nem completamente priado como um serio de uma su%$unidade da organi#ao. 8ntretanto, o serio
pode precisar de um suporte pr/prio, separadamente tanto dos serios e rede internos e e!ternos.
6ma forma de serio e!terno que merece uma ateno especial o acesso an(nimo, ou guest. 8le pode
ser tanto p(r G9' ou p(r login guest *no autenticado+. : importante manter esses acessos isolados de
hosts e sistemas de arquios que no deem ser istos p(r usurios e!ternos. )utro cuidado especial di#
respeito ao acesso an(nimo com permisso de escrita. 6m site dee ser legalmente responsel pela
informao p(r ele tornada pD%lica, portanto informaes colocadas p(r an(nimos deem ser
monitoradas.
Agora iremos considerar alguns dos mais populares serios, seridor de nomes, seridor de senhas,
seridor de pro!7Lautenticao, correio eletr(nico, MMM, transferncia de arquios e NGS.
.onsiderando que so os serios mais freqOentemente usados, so os principais alos de ataques. 8 um
ataque em um destes serios pode produ#ir um desastre alm das propores do serio %sico.
$.$ 3ire4alls
6ma das medidas de segurana mais amplamente empregada e pu%licada em uso na Hnternet um
2fire5all2. Gire5alls tem sido determinados a reputao de uma panacia geral para muitas, seno todas,
questes de segurana da Hnternet. 8les no so. Gire5alls so apenas outra ferramenta em questo para
segurana de sistema. 8les fornecem um certo nel de proteo e so, em geral, uma maneira de
implementar a poltica de segurana no nel de rede. ) nel de segurana que um fire5all fornece pode
ariar tanto quanto o nel de segurana em uma mquina particular. 8!iste o tradicional 2trade$off2 entre
segurana, facilidade de uso, custo, comple!idade, etc.
6m fire5all qualquer um dos rios mecanismos usados para controlar e o%serar o acesso de e para
uma rede com a finalidade de proteg$la. 6m fire5all atua como um gate5a7 atras do qual todo o
trfego de e para a rede ou sistemas protegidos passa. Gire5alls a&udam a colocar limitaes na
quantidade e tipo de comunicao que ocorre entre a rede protegida e a outra rede *p(r e!emplo, a
Hnternet, ou outra parte da rede de um site+.
6m fire5all geralmente uma maneira de construir uma parede entre uma parte de uma rede, uma rede
interna de uma empresa, p(r e!emplo, e outra parte, a Hnternet glo%al, p(r e!emplo. A Dnica caracterstica
so%re esta parede que precisam e!istir maneiras para algum trfego com caractersticas particulares
passarem atras de portas cuidadosamente monitoradas *2gate5a7s2+. A parte difcil esta%elecer o
critrio pelo qual os pacotes so permitidos ou negados acesso pelas portas. ;iros escritos so%re fire5all
usam terminologia diferente para descreer as rias formas de fire5alls. Hsto pode ser confuso para
administradores de sistemas que no so familiares com fire5alls. ) ponto a o%serar aqui que no
e!iste nenhuma terminologia fi!a para a descrio de fire5alls.
Gire5alls no so sempre, ou mesmo tipicamente, uma Dnica mquina. 'referielmente, fire5alls so
freqOentemente uma com%inao de roteadores, segmentos de rede, e computadores host. 'ortanto, para o
prop/sito desta discusso, o termo 2fire5all2 pode consistir em mais de um dispositio fsico. Gire5alls
so tipicamente construdos usando dois diferentes componentes, roteadores de filtragem e seridores
pro!7.
1oteadores de filtragem so o componente mais fcil de conceituar em um fire5all. 6m roteador moe
dados de um lado para outro entre duas *ou mais+ redes diferentes. 6m roteador 2normal2 pega um pacote
da rede A e encaminha$o para seu destino na rede P. 6m roteador de filtragem fa# a mesma coisa mas
B
decide no apenas como rotear o pacote mas se deeria rotear o pacote. Hsto feito instalando uma srie
de filtros pelos quais o roteador decide o que fa#er com qualquer pacote de dados.
6ma discusso referente a capacidades de uma marca particular de roteador, e!ecutando uma erso de
soft5are especfica est fora do escopo deste documento. 'orm, quando aaliando um roteador para ser
usado para filtragem de pacotes , o seguinte critrio pode ser importante quando da implementao de
uma poltica de filtragem, endereo H' origem e destino, nDmeros de porta 9.' origem e destino, estado
do %it 2A.Q2 no pacote 9.', nDmeros de porta 6>' origem e destino, e direo do flu!o de pacotes *i.e.,
A$RP ou P$RA+. )utra informao necessria para construir um esquema de filtragem seguro se o
roteador reordena instrues de filtro *pro&etada para otimi#ar filtros, isto algumas e#es pode mudar o
significado e causar acesso no pretendido+, e se possel aplicar filtros para pacotes que chegam e que
saem em cada interface *se o roteador filtra somente pacotes que saem ento o roteador e!terno aos seus
filtros e pode ser mais ulnerel para atacar+. Alm do roteador ser ulnerel, esta distino entre
aplicar filtros em pacotes que chegam ou que saem especialmente releante para roteadores com mais
de duas interfaces. )utras questes importantes so a capacidade de criar filtros %aseado nas opes do
ca%ealho H' e o fragmento de estado do pacote. .onstruir um %om filtro pode ser muito difcil e requer
um %om entendimento do tipo de serios *protocolos+ que sero filtrados.
'ara melhor segurana, os filtros geralmente restringem acesso entre as duas redes conectadas a apenas
um host, o %astion host. S/ possel ter acesso para a outra rede atras deste %astion host. .omo
somente este host, em lugar de algumas centenas de hostSs, pode ser atacado, mais fcil manter um certo
nel de segurana pois somente este host tem que ser muito cuidadosamente protegido. 'ara tornar
disponel recursos para legitimar usurios atras deste fire5all, serios tem que ser passados adiante
pelo %astion host. Alguns seridores tem esta capacidade em%utida *como seridores >NS ou seridores
SK9'+, para outros serios *p(r e!emplo, 9elnet, G9', etc.+, seridores pro!7 podem ser usados para
permitir acesso aos recursos atras do fire5all de modo seguro.
6m seridor pro!7 um modo para concentrar serios de aplicao atras de uma Dnica mquina.
9ipicamente e!iste uma Dnica mquina *o %astion host+ que atua como um seridor pro!7 para uma
ariedade de protocolos *9elnet, SK9', 9G', 499', etc.+ mas podem e!istir computadores host
indiiduais para cada serio. Ao ins de conectar diretamente um seridor e!terno, o cliente conecta
para o seridor pro!7 que em troca inicia uma cone!o para o seridor e!terno solicitado. >ependendo do
tipo de seridor pro!7 usado, possel configurar clientes internos para reali#ar este redirecionamento
automaticamente, sem conhecimento para o usurio, outros podem requerer que o usurio conecte
diretamente para o seridor pro!7 e ento iniciar a cone!o atras de um formato especfico.
8!istem significantes %enefcios de segurana que podem ser o%tidos pelo uso de seridores pro!7. :
possel adicionar listas de controle de acesso para protocolos, e!igir que usurios ou sistemas forneam
algum nel de autenticao antes do acesso ser concedido. Seridores pro!7 mais espertos, algumas
e#es chamados <ate5a7s da .amada de Aplicao, podem ser escritos de modo que entendam
protocolos especficos e podem ser configurados para %loquear somente su%sees do protocolo. '(r
e!emplo, um <ate5a7 de Aplicao para G9' pode reconhecer a diferena entre o comando 2put2 e o
comando 2get2F uma organi#ao pode dese&ar permitir aos usurios reali#ar 2get2 de arquios da Hnternet,
mas no permitir 2put2 de arquios internos no seridor remoto. 8m contraste, um roteador de filtragem
poderia ou %loquear todo acesso ao G9', ou no, mas no um su%con&unto.
Seridores pro!7 tam%m podem ser configurados para encriptar flu!os de dados %aseado em uma
ariedade de parAmetros. 6ma organi#ao pode usar esta caracterstica para permitir cone!es
encriptadas entre duas locali#aes cu&os Dnicos pontos de acesso esto na Hnternet.
Gire5alls so pensados como uma maneira de manter intrusos do lado de fora, mas eles so usados
geralmente como uma maneira de legitimar usurios em um site. 8!istem muitos e!emplos onde um
usurio lido poderia precisar acessar regularmente o site 2home2 durante iagens para apresentaes e
conferncias, etc. Acesso " Hnternet geralmente disponel mas pode ser atras de uma mquina ou
rede no confiel. 6m seridor pro!7 configurado corretamente pode permitir os usurios corretos no
site enquanto %loqueia acesso para outros usurios.
C
) maior esforo atual em tcnicas de fire5all encontrar uma com%inao de um par de roteadores de
filtragem com um ou mais seridores pro!7 na rede entre os dois roteadores. 8sta configurao permite
ao roteador e!terno %loquear qualquer tentatia de usar a camada H' su%&acente para que%rar a segurana
*H' spoofing, roteamento pela origem, fragmentos de pacotes+, enquanto permite ao seridor pro!7 tratar
potenciais furos de segurana nos protocolo das camadas superiores. A finalidade do roteador interno
%loquear todo trfego e!ceto para o seridor pro!7. Se esta configurao implementada rigorosamente,
pode ser o%tido um alto nel de segurana.
Kuitos fire5alls fornecem capacidade de log que pode ser adequado para fa#er administrao mais
coneniente da segurana da rede. A funo de log pode ser centrali#ada e o sistema pode ser configurado
para eniar alertas para condies anormais. : importante monitorar regularmente estes logs para
qualquer sinal de intruses ou tentatias de arrom%amento. >esde que alguns intrusos tentaro enco%rir
seus ataques pela edio dos logs, dese&el proteger esses logs. 6ma ariedade de mtodos est
disponel, incluindo, escrea uma e#, leia muitos *M)1K+ driesF logs em papelF e logs centrali#ados
atras do utilitrio 2s7slog2. )utra tcnica usar um impressora serial falsa, mas ter uma porta serial
conectada para uma mquina isolada ou '. que mantm os logs.
Gire5alls esto disponeis em uma ampla fai!a de qualidade e intensidade. 'acotes comerciais iniciam
em apro!imadamente T-U,UUU6S e alcanam mais de T0?U,UUU6S. Gire5alls desenolidos pelo pr/prio
site podem ser construdos para quantias menores de capital. >ee$se lem%rar que a configurao correta
de um fire5all *comercial ou 2caseiro2+ requer uma significante ha%ilidade e conhecimento do 9.'LH'.
Am%os os tipos requerem manuteno regular, instalao de patches de soft5ares e atuali#aes, e
monitorao regular. Nuando reali#a$se o oramento de um fire5all, estes custos adicionais deeriam ser
considerados alm do custo dos elementos fsicos do fire5all.
.omo um aparte, construir uma soluo 2caseira2 para um fire5all requer significante ha%ilidade e
conhecimento do 9.'LH'. Hsto no deeria ser tentado triialmente pois a sensao de segurana
perce%ida pior ao longo da e!ecuo do que sa%er que no e!iste nenhuma segurana. .omo com todas
as medidas de segurana, importante decidir na ameaa, o alor do recurso a ser protegido, e os custos
para implementar segurana.
6ma nota final so%re fire5alls. 8les podem ser uma grande a&uda quando implementando segurana para
um site e protegem contra uma grande ariedade de ataques. Kas importante ter em mente que eles so
apenas uma parte da soluo. 8les no podem proteger seu site contra todos os tipos de ataque.
) que e como funciona o principal dispositio de segurana na Hnternet.
Segurana ainda o ponto mais discutido na Hnternet, mas, em grande parte dos casos, a discusso se
resume a pro%lemas como iolao de correspondncia e dificuldades para se eniar nDmero de carto de
credito. V medida que a maior parte das empresas conecta suas redes priadas " grande rede, entretanto, a
questo fundamental passa a ser como impedir que usurios no autori#ados ganhem acesso lire a dados
senseis. ) principal meio de proteger as redes priadas so os chamados fire5alls.
6m fire5all um sistema ou grupo de sistemas atras do qual flui o trafego de dados entre duas redes
distintas de computadores, permitindo que se implemente uma poltica de segurana que determine o que
pode ou no passar de uma rede para outra. A aplicao mais comum de um fire5all proteger uma rede
contra acesso dos inDmeros usurios mal$intencionados *chamados cracIers+ que pooam a Hnternet.
Kais especificamente, o fire5all um dispositio de hard5are dotado de duas placas de rede *uma ligada
a rede corporatia e a outra ligada " Hnternet+ rodando soft5are especifico de analise e roteamento de
pacotes. .omo todo pacote eniado de uma rede a outra passa o%rigatoriamente pelo sistema, o fire5all
tem a chance de analis$lo, determinar se ele representa algum risco e, se for o caso, descart$lo antes que
ele possa alcanar seu destino.
)s critrios utili#ados para decidir se determinado pacote de dados oferece ou no risco fa#em parte a
poltica de segurana praticada pela entidade proprietria do fire5all. 8!istem fire5alls que operam na
camada de rede W analisando pacotes H' W e outros que operam na camada de aplicao W analisando os
dados dentro dos pacotes H'. Alguns fire5alls so to restritos que dei!am passar apenas mensagens de
correio, enquanto outros so %em permissios. .omo seria de se esperar, quanto mais diligente e rigoroso
for o fire5all, mais difcil ser penetrar um ataque e mais facial ser inestig$lo posteriormente.
E
3ire4all no n&el de rede
Gire5alls de rede se restringem ao nel do H', decidindo que pacotes deem passar e que pacotes deem
ser descartados com %ase nos dados constantes do ca%ealho do pacote W informaes como endereo de
remetente, endereo de destinatrio e a porta H' utili#ada. A porta um campo de dois %7tes contendo um
nDmero inteiro que indica a mquina destinatria qual o programa que dee manipular o pacote rece%ido
* o SK9', protocolo de correio da Hnternet, p(r e!emplo, usa a porta 0?+.
At um roteador comum pode ser configurado para agir como um fire5all de rede W se %em que ser um
fire5all simples, & que roteadores tradicionais no costumam ser muito sofisticados e freqOentemente
no conseguem determinar de onde um pacote efetiamente eio ou que tipo de informao ele est
carregando. 6m roteador comum, que se preocupa apenas em eniar os pacotes a seus destinatrios, pode
ser presa de alguns ataques clssicos, como o 2H' spoofing2.
Kquinas %em configuradas s/ concedem acesso a computadores conhecidos, em geral locali#ados numa
mesma rede priada. Assim, para o%ter acesso a uma maquina %em configurada, necessrio introdu#i$la
a crer que a mquina do inasor de confiana W um processo denominado spoofing. 'ara isso, o inasor
precisa desco%rir o endereo legitimo de uma maquina da rede interna e eniar " itima pacotes que
apresentam tal endereo como origem. A itima, crendo ser o atacante uma maquina de confiana,
responder eniando pacotes para o endereo do remetente.
'ara o esquema funcionar, entretanto o cracIer precisa tomar duas proidencias. A primeira impedir que
a maquina legitima responda aos pacotes eniados pela itimaF em geral, isso feito garantindo$se que a
maquina legitima este&a fora do ar *pode$se efetuar o ataque num momento em que se sai%a que a
maquina esta desligada, ou derru%$la de algum mtodo mais hostil+.
A segunda garantir que o pacote se&a ecoado para fora da rede interna. 8m geral, o pacote apenas di#
para onde quer ir e os roteadores no caminho decidem qual a melhor rota a seguir. >esta forma, os
pacotes eniados pela tima no seriam passados para a Hnternet, porque o endereo de destino *que
pertence a maquina que esta fora do ar+ encontra$se dentro da rede interna. 'ara eitar isso, o inasor
recorre ao 2source$routing2, uma tcnica criada para testes e depurao que permite que a maquina que
inicia a comunicao *no caso, o inasor+ especifique qual a rota a ser utili#ada p(r todos os pacotes de
uma determinada cone!o, o que garante que os pacotes se&am ecoados da rede interna para a Hnternet.
6m fire5all de rede sofisticado no se contenta em rotear os pacotes para seus destinos, ele mantm
informaes so%re o estado das cone!es e so%re o conteDdo dos pacotes, o que lhe permite perce%er que
um pacote cu&o endereo de origem pertence a rede interna no pode proir da Hnternet. Se isto ocorre,
configura$se o spoofing e o fire5all descarta o pacote e aciona o alarme. Similarmente, comunicaes
normais no deem gerar pedidos de source$routing, de modo que, se um tal pedido surge, o fire5all dee
consider$lo um ataque e agir de acordo. Hndependente de sua sofisticao, fir5alls de rede roteiam
trfego diretamente, o que os torna rpidos e transparentes mas os impede de analisar o conteDdo efetio
dos pacotes trafegados e e!ige que as maquinas na rede interna tenham endereos H' lidos *o que pode
ser um risco em si+.
Gire5all no nel de aplicao
Gire5alls de aplicao costumam ser computadores de uso geral que rodam programas especiais
chamados 2pro!7 serers2. .ada aplicao a%ilitada na configurao de fire5all W SK9' *correio+, 499'
*Me%+, G9', 9elnet etc. W e!ige um pro!7 serer especfico que superisione a porta H' por onde passam
os pacotes referentes "quela determinada aplicao.
8ste tipo de fire5all no permite trfego direto entre duas redes, toda comunicao requer o
esta%elecimento de duas cone!es, uma entre o remetente pro!7 e a outra entre o pro!7 e o destinatrio.
) pro!7 correlaciona a duas comunicaes atras do nDmero da sesso 9.' *que est presente em todos
-U
os pacotes+ e ecoa os dados que m da cone!o ! para a cone!o 7 e ice$ersa. ) que importante
que todo pacote, antes de ser ecoado de uma cone!o para a outra, analisado pelo pro!7 serer W um
programa para detectar a%usos de segurana no protocolo utili#ado naquela porta especfica $ , que decide
se o pacote dee passar ou ser descartado. ) resultado o fire5all de aplicao consege detectar riscos
que um fire5all de rede no teria como perce%er, alcanando um nel de segurana superior.
6m e!emplo clssico do tipo de informao que um pro!7 pode filtrar o comando >8P6< do SK9',
usado para solicitar a um seridor de correio que fornea certas informaes de controle e considerado
arriscado pela maior parte dos administradores de rede. .omo no normal que esse tipo de comando
se&a emitido durante uma troca de mensagens de correio, um %om pro!7 SK9' descartar o pacote como
o comando proi%ido, mudar o estado do fire5all para 2ataque em curso2 e eniara uma mensagem *que
pode at seguir para um pager ou telefone celular+ para o administrador, preenindo$o do ocorrido.
)utro e!emplo so pro!ies G9', que podem edar completamente o acesso de usurios e!ternos s
maquinas da empresa ao mesmo tempo que permite que funcionrios copiem arquios da Hnternet para a
rede interne *comando <89+, mas no o contrrio *comando '69+. 9odos esses e!emplos esto ligados
ao funcionamento dos protocolos especficos de cada aplicao e no poderiam ser implementados em
fire5alls de rede, que no so capa#es de e!aminar o conteDdo dos pacote H'.
Gir5alls de aplicao so %em menos transparentes do que fire5alls e rede. 'ara comear, toda e qualquer
aplicao e!ige a e!istncia de um pro!7F se o usurio precisa de uma aplicao para a qual no e!iste um
pro!7 rodando no fire5all, no h o que fa#er, a aplicao simplesmente no funcionar. 8m um mundo
onde h noas aplicaes sendo lanadas todos os dias, este tende a ser um pro%lema considerel, e o
resultado que os fornecedores sempre tm uma noa erso *esta suporta SS;, a pr/!ima suportar 1eal
Xudio, a seguinte suportar SN;+ de fire5all no forno.
Nuando necessrio usar uma aplicao para a qual o fornecedor do fire5all no tem *nem ter+ um
pro!7 especfico, a soluo a utili#ao de um pro!7 genrico. .riar um pro!7 genrico simples, trata$
se to$somente de informar ao fire5all que quaisquer pacote trafegando entre as maquinas ! *internas+ e
as maquina 7 *e!ternas+que usem a porta # so confieis e podem passar. Apesar de tais pacotes serem
roteados sem uma anlise cuidadosa *similar ao que faria um fire5all de rede+, trata$se de um
procedimento ra#oaelmente seguro, porque a comunicao no monitorada duplamente restrita, no
apenas ocorre numa Dnica porta H', como s/ enolem maquinas de confiana W afinal, se o fornecedor
no fosse de confiana no seria contratado.
.omo no permite comunicao direta entre o cliente e o seridor, o fire5all de aplicao
consideraelmente menos transparente que o fire5all de rede. : necessrio que o programa cliente sai%a
que dee esta%elecer uma cone!o com o pro!7 e determinar aes como 2conecte$se ao seridor Me% da
Kantel e recupere a pgina tal para mim2. Nuando o cliente sa%e issoF como a maioria dos %ro5sers
Me%, %asta configur$lo corretamente. Nuando os clientes so poucos sofisticados e e!igem cone!es
diretas com o seridor *como comum com G9' e 9elnet, p(r e!emplo+, utili#a$se um artifcio, o usurio
se loga no pro!7 e esteF m e# de solicitar nome e senha *como seria de esperar+, solicita o nome do
seridor com o qual se dese&a a cone!oF a partir da, tudo funciona normalmente.
) fire5all de aplicao oferece algumas antagens so%re o fire5all de rede. A primeira e mais importante
permitir um acompanhamento muito mais pr/!imo e efetio das comunicaes entre duas redes,
inclusie com logs e relat/rios de auditoria. ) fato de o >NS ser tam%m um pro!7 serer permite que os
nomes das maquinas internas se&am preserados e que um mesmo nome possa identificar duas maquinas
diferentes da origem de quem consulta, se um usurio interno ou e!terno.
Alm disso, como toda a comunicao ricocheteada pelo fire5all, o mundo s/ precisa sa%er de um
Dnico endereo H' *o da porta e!terna do fire5all+, e os erdadeiros endereos das maquinas internas
podem ser protegidos, tra#endo rios %enefcios. 'ara comear, o simples desconhecimento dos
endereos reais refora a segurana. Kelhor ainda que isso permite o uso de fai!as reseradas de
endereos que, p(r coneno, no podem ser utili#adas na Hnternet. Neste caso, irtualmente
impossel para o cracIer eniar pacotes diretamente "s maquinas da rede interna. 8 o uso de endereos
protegidos tam%m possi%ilita a atri%uio de mais endereos do que os concedidos originalmente pelo
proedor de acesso.
--
Na erdade, a discusso so%re qual o melhor fire5all, se o de rede ou o de aplicao, no procede,
porque eles no representam solues mutuamente e!cludentes. )s melhores sistemas de fire5all, como
seria de esperar, adotam am%as as a%ordagens, permitindo a definio de regras, controles e auditorias nos
dois neis.
Alm do fire5all
Hnfeli#mente, no h fire5all que consiga %loquear um ataque efetuado p(r fora do fire5all. Apesar de
isso ser /%io, a Hnternet parece deter o monop/lio no que se refere a difundir o terrorF de modo que h
muita gente que s/ perigo na grande rede, dei!ando de lado os outros pontos onde, com freqOncia, o
dano pode ser maior ou o risco mais proel. So comuns os casos empresas que instalam fire5alls de
primeira ao mesmo modems permitindo acesso discado sem senha. Hsso eqOiale a colocar tranca de ao
na portas da frente e a%andonar as &anelas destrancadas.
6m fire5all no impede o a#amento de dados. ) correio eletr(nico de fato a forma mais simples de se
eniar dados para fora da empresa, mas tam%m a forma mais perigosa, & que o trafego de correio pode
ser controlado e auditado. 6m espio consciencioso preferir uma fita, um disquete *ra#o pelos quais h
quem defenda o %animento dos dries de disquete+ ou um simples fa!. 8 no e!iste ap/lice de seguro
contra estupide#, se um funcionrio fornecer sua senha de acesso a usurios no autori#ados ou
desconhecidos, no h fire5all que resola.
Gire5alls podem ser muito eficientes para reconhecer e neutrali#ar ataques efetuados da utili#ao
maliciosa de caractersticas especficas dos protocolos de comunicao utili#ados na rede, mas pouco
podem fa#er contra ataques %aseados em dados. >o ponto de ista do fire5all, mensagens de correio ou
arquios copiados para algum seridor no constituem ataque. ) resultado que possel que cracIers
se alha de caractersticas *ou, mais comumente, falhas+ de programas especficos para e!ecutar aes
nefastas. ) caso mais not/rio deste tipo de utili#ao mal$intencionada foi o rus da Hnternet, que se alia
de uma falha do sendmail *programa de enio de correio do 6ni!+ e derru%ou @ mil maquinas em -ECC.
)utros e!emplos particularmente graes so os rus e programas e!ecuteis pelos %ro5sers *como
applets &aa ou controles actieY+F am%os os casos so tratados pelos fire5alls como dados e, em geral,
trafegam de uma rede a outra sem pro%lema algum.
A maneira correta de com%ater rus a tradicional, atras da utili#ao de programas rodando em
estaes e seridores de arquios identificar e limpar arquios contaminados logo depois sua graao em
disco. 9am%m & e!istem antirus para seridores de correio capa#es de analisar arquios ane!ados a
mensagens de correio, detectando e remoendo rus antes mesmo que os destinatrios se&am notificados
de sua chegada. A preeno contra o c/digo e!ecutel distri%udo atras da Me% dee ser feita nos
programas que rece%em e e!ecutam. Pro5sers como o Netscape e Hnternet 8!plorer tm opes de
configurao que permitem que tipos de o%&etos podem ser rece%idos e em que condies podem ser
e!ecutados.
Apesar de haer no mercado e!celentes solues para proteger redes priadas contra ataque de inasores
inescrupulosos, o fire5all no pode ser encarado como soluo isolada para a questo de segurana na
comunicao com a Hnternet. 4 empresas que gastam pequenas fortunas para montar fire5all
ine!pugneis mas no se preocupam em criar polticas de segurana coerentes e consistentes. 'ara ser
efica#, o fire5all dee ser parte de uma poltica glo%al de segurana W uma que se&a realista o %astante
para identificar e preenir os riscos efetios *maquinas que contm dados mais confidenciais, p(r
e!emplo, no precisam de fire5all, elas no deem estar ligadas " Hnternet+, mas que, p(r outro lado, no
se&a paran/ica a ponto de impedir as pessoas de tra%alhar.
0. Ser&ios e Procedimentos Seguros
-0
8ste captulo guia o leitor atras de uma srie de t/picos os quais deeriam ser o%serados para tornar
um site seguro. .ada seo a%orda um serio ou uma capacidade de segurana que pode ser necessria
para proteger a informao e os sistemas de um site. )s t/picos so apresentados em ra#oel alto$nel
para a introduo de conceitos ao leitor.
Ao longo do captulo oc encontrar referncias significatias " criptografia. 8st fora do escopo deste
documento aprofundar$se em detalhes concernentes " criptografia, mas o leitor interessado pode o%ter
mais informaes atras de liros e artigos listados na seo de referncia deste documento.
0.1 +utenticao
'(r muitos anos, o mtodo prescrito para a autenticao de usurios tem passado pelo uso de senhas
padro reutili#eis. )riginalmente, estas senhas eram usadas p(r usurios em terminais para
autenticarem$se em um computador central. Na poca no e!istiam redes *interiormente ou
e!ternamente+, sendo mnimo o risco de reelao da senha de te!to claro. Atualmente sistemas so
conectados atras de redes locais, e estas redes locais so conectadas mais adiante e " Hnternet. 6surios
esto se logando de toda parte o glo%oF suas senhas reutili#eis so freqOentemente transmitidas atras
destas mesmas redes em te!to claro, no ponto para que qualquer um *que este&a na escuta+ possa capturar.
8, sem dDida, o .entro de .oordenao .819Z e outras equipes de reao esto endo um grande
nDmero de incidentes enolendo isuali#adores de pacote os quais esto capturando as senhas de te!to
claro.
.om o adento de tecnologias mais recentes, como senhas de uso Dnico *p(r e!emplo, S/Key+, '<', e
dispositios de autenticao %aseados em tokens, as pessoas esto usando strings tipo senhas como tokens
e identificadores numricos secretos. Se estes tokens e identificadores numricos secretos no forem
apropriadamente selecionados e protegidos, a autenticao ser facilmente su%ertida.
0.1.1 Sen5as de uso 6nico
.omo mencionado acima, dado os atuais am%ientes de rede, recomendado que sites relacionados com a
segurana e a integridade de seus sistemas e redes considerem mudanas em relao "s senha padro
reutili#eis. 9em ocorrido muitos incidentes enolendo programas de rede de 9r/ia *p(r e!emplo,
telnet e rlogin+ e programas isuali#adores de pacotes de rede. 8stes programas capturam trios de nomes
de mquina, contas e senhas em te!to claro. Hntrusos podem usar a informao capturada para acesso
su%seqOente "s mquinas e contas. Hsto possel porque -+ a senha usada rias e#es
*consequentemente o termo 2reutili#el2+ e 0+ a senha passa atras d rede em te!to claro.
Goram desenolidas algumas tcnicas de autenticao que dirigem$se " este pro%lema. 8ntre estas
tcnicas esto tecnologias de desafio$resposta que proem senhas que so uma usadas uma s/ e#
*comumente chamadas de senhas de Dnica e#+. 4 rios produtos disponeis que sites deeriam
considerar o uso. A deciso de usar um produto responsa%ilidade de cada organi#ao, e cada
organi#ao deeria reali#ar sua pr/pria aaliao e seleo.
0.1.2 7er(eros
Qer%eros um sistema de segurana de rede distri%udo que pro autenticao atras de redes
inseguras. .aso se&am requisitados pela aplicao, integridade e criptografia tam%m podem ser proidos.
Qer%eros foi desenolido originalmente no Hnstituto de Kassachusetts de 9ecnologia *KH9+ nos anos
oitenta. 4 dois principais lanamentos do Qer%eros, erso = e ? que so, para prop/sitos prticos,
incompateis.
-3
Qer%eros confia em um %anco de dados de chaes simtricas, utili#ando um centro de distri%uio de
chaes *Q>.+ que conhecido como o seridor Qer%eros. So concedido 2ingressos2 eletr(nicos para
usurios ou serios *conhecidos como 2principais2+ depois de apropriada comunicao com o Q>..
8stes ingressos so usados para autenticao entre principais. 9odos os ingressos incluem uma marca de
tempo a qual limita o perodo de tempo para o qual o ingresso lido. 'ortanto, os clientes e o seridor
Qer%eros deem possuir uma fonte de tempo segura e estarem aptos " manter o controle de tempo com
preciso.
) lado prtico de Qer%eros sua integrao com o nel de aplicao. Aplicaes tpicas como G9',
telnet, ')' e NGS tm sido integradas com o sistema Qer%eros. 4 uma ariedade de implementaes
que possuem neis ariados de integrao. '(r faor e&a o GAN do Qer%eros disponel ia
http,LL555.o.comLmiscLIr%$faq.html para a mais recente informao.
0.1.$ 8scol5endo e Protegendo Tokens e Indenti"icadores 2umricos
Secretos
Nuando da seleo de tokens secretos, dee$se preocupar$se em escolhe$los cuidadosamente. .omo a
seleo de senhas, eles deem ser ro%ustos contra esforos de fora %ruta para adiinha$los. Hsto , eles
no deem ser palaras Dnicas em qualquer idioma, qualquer acr(nimo comum, industrial ou cultural, etc.
Hdealmente, eles deem ser mais longos que curtos e consistir de frases de passagem que com%inem letras
minDsculas e maiDsculas, dgitos e outros caracteres.
6ma e# escolhida, a proteo destes tokens secretos muito importante. Alguns so usados como
identificadores numricos para dispositios de hard5are *como cartes de token+ e estes no deem ser
escritos a%ai!o ou colocados em mesmo local do dispositio com os quais so associados. )utros, como
uma chae do '<', deem ser protegidos de acesso no autori#ado.
6ma Dltima palara neste assunto. Nuando da utili#ao de produtos de criptografia, como '<', tome
cuidado em determinar o comprimento apropriado da chae e assegurar que seus usurios este&am
treinados para fa#er igualmente. .omo aanos de tecnologia, o comprimento seguro mnimo de chae
continua crescendo. 9enha certe#a de que seu site mantenha o mais recente conhecimento na tecnologia
de forma que oc possa assegurar que qualquer criptografia em uso este&a proendo a proteo que oc
acredita que ele realmente este&a.
0.1.0 9arantia da Sen5a
8nquanto a necessidade de eliminar o uso de senhas padro reutili#eis no pode ser e!agerada,
reconhecido que algumas organi#aes ainda podem estar usando$as. : recomendado que estas
organi#aes mudem para o uso de uma melhor tecnologia. 8nquanto isso, n/s temos o seguinte conselho
para a&udar com a seleo e manuteno de senhas tradicionais. Kas lem%re$se, nenhuma destas medidas
pro proteo contra reelao deido a programas de isuali#ao de pacotes.
*-+ A importAncia de senhas ro%ustas $ 8m muitos *se no a maioria+ casos de penetrao de sistema, o
intruso precisa ganhar acesso " uma conta no sistema. 6ma maneira em que esta meta tipicamente
alcanada adiinhando a senha de um usurio legtimo. Hsto freqOentemente reali#ado atras da
e!ecuo de programa automtico de que%ra de senhas, o qual utili#a um dicionrio muito grande contra
o arquio de senhas do sistema. ) Dnico modo de resguardar$se contra a desco%erta de senhas desta
maneira pela seleo cuidadosa de senhas que no podem ser facilmente adiinhado *i.e., com%inaes
de nDmeros, letras e carter de pontuao+. Senhas tam%m deem ser to compridas quanto suportado
pelo sistema e toleradas pelo usurio.
*0+ 9roca de senhas padro $ Kuitos sistemas operacionais e programas de aplicao so instalados com
contas e senhas padro. 8stas deem ser mudadas imediatamente para algo que no possa ser adiinhado
ou que%rado.
-=
*3+ 1estringindo acesso ao arquio de senhas $ em particular, um site dese&a proteger a poro de senha
codificada do arquio para que os pretendentes a intrusos no os tenham disponeis para a que%ra. 6ma
tcnica efetia usar senhas de som%ra onde o campo de senha do arquio padro contm uma senha
%o%a ou falsa. ) arquio contendo as senhas legtimas protegido em outro lugar do sistema.
*=+ 8nelhecimento de senhas $ Nuando e como e!pirar senhas ainda um assunto de controrsia entre a
comunidade de segurana. <eralmente aceito que uma senha no dee ser mantida uma e# que uma
conta no se encontra mais em uso, mas ardentemente de%atido se um usurio dee ser forado a mudar
uma senha %oa na que esta em uso atio. )s argumentos para a troca de senhas relaciona$se " preeno
do uso continuo de contas penetradas. 8ntretanto, a oposio reiindica que mudanas de senha
freqOentes condu#a usurios a escreerem suas senhas em reas iseis *como cola$las em um terminal+
ou selecionarem senhas muito simples as quais se&am fceis de adiinhar. 9am%m dee ser declarado
que um intruso proaelmente usar uma senha capturada ou adiinhada mais cedo do que tarde. Neste
caso o enelhecimento da senha pro pequena ou nenhuma proteo.
8nquanto no h resposta definitia a este dilema, uma poltica de senhas dee dirigir a questo
diretamente e proer diretri#es para com que freqOncia um usurio dee mudar a senha. .ertamente,
uma mudana anual em sua senha no difcil para a maioria dos usurios, normalmente, e oc dee
considerar esta requisio. : recomendado que senhas se&am mudadas pelo menos sempre que uma conta
priilegiada se&a compromissada, e!ista uma mudana pessoal crtica *especialmente se for um
administrador[+ ou quando uma conta se&a compromissada. Ainda, se a senha de uma conta priilegiada
compromissada, todas as senhas no sistema deem ser alteradas.
*?+ Ploqueio de contas e senhas $ Alguns sites acham Dtil desa%ilitar contas depois de um nDmero pr$
definido de no sucedidas tentatias de autenticao. Se seu site decidir empregar este mecanismo,
recomendado que o mecanismo no aise a sim mesmo. >epois de
desa%ilitar, at mesmo se a senha correta for apresentada, a mensagem e!i%ida dee permanecer como a
de uma tentatia no sucedida de login. A implementao deste mecanismo requerer que usurios
legtimos contatem seus administradores de sistema para pedir que sua conta se&a reatiada.
*@+ 6ma palara so%re o finger daemon $ ) finger daemon e!i%e, como padro, informao considerel
do sistema e do usurio. '(r e!emplo, ele pode e!i%ir uma lista de todos os usurios que atualmente usam
um sistema ou todo o conteDdos do arquio .plan de um usurio especfico. 8sta informao pode ser
usada p(r posseis intrusos para identificar usernames e adiinhar suas senhas. : recomendado que sites
considerem modificar o finger para restringir a informao e!i%ida.
0.2 -on"iana
4aer recursos de informao que seu site dese&ar proteger da reelao " entidades no autori#adas.
Sistemas operacionais possuem freqOentemente mecanismos de proteo de arquio em%utidos que
permitem um administrador controlar quem no sistema pode acessar ou 2enchergar2 o conteDdo de um
determinado arquio. 6m modo mais forte de proer confiana atras de criptografia. .riptografia
reali#ada misturando dados de forma que enha a ser muito difcil e consuma tempo demasiado para que
qualquer um que no um receptor ou proprietrio autori#ado possa o%ter o te!to claro. )s receptores e
autori#ados e proprietrios da informao possuiro as chaes de decriptao correspondentes as quais
lhes permitem ordenar facilmente o te!to para uma forma legel *te!to claro+. N/s recomendamos que
sites usem criptografia para proer confiana e proteger informao aliosa.
) uso de criptografia controlado "s e#es p(r regulamentos goernamentais e de sites, portanto n/s
encora&amos que os administradores tornem$se informados de leis ou polticas que regulem seu uso antes
de emprega$la. 8st fora do escopo deste documento discutir os rios algoritmos e programas
disponeis para este prop/sito, mas n/s acautelamos contra o uso casual do programa crypt do 6NHY p(r
ter sido achado facilmente que%rel. N/s tam%m encora&amos todos a learem tempo para entender a
fora da criptografia em qualquer algoritmoLproduto dado antes de us$lo. A maioria dos produtos
famosos %em$documentada na literatura, deendo ser esta uma tarefa %astante fcil.
-?
0.$ Integridade
.omo um administrador, oc dese&ar ter certe#a que informaes *p(r e!emplo, arquios de sistema
operacional, dados de companhia, etc.+ no tenham sido alteradas de uma maneira no autori#ada. Hsto
significa que oc dese&ar proer alguma garantia so%re a integridade da informao em seus sistemas.
6m modo de proer isto reali#ar um checksum do arquio inalterado, arma#enar o checksum de maneira
offline e periodicamente *ou quando dese&ado+ conferir para ter certe#a que o checIsum do arquio online
no tenha sido alterado *que indicaria a alterao dos dados+.
Alguns sistemas operacionais m com programas de checksum, como o programa sum do 6NHY.
8ntretanto, estes podem no proer a proteo da que oc precisa de fato. Arquios podem ser
modificados arquios de tal forma que o resultado do programa sum do 6NHY se&a conserado[ Assim,
n/s sugerimos a utili#ao de um forte programa de criptografia, como o programa de condenso de
mensagem K>? \ref.], para produ#ir os checksums que oc usar para garantir a integridade.
4 outras aplicaes onde a integridade precisar ser assegurada, como quando da transmisso de um
email entre duas entidades. 8!istem produtos disponeis os quais podem proer esta capacidade. 6ma
e# que oc identificar esta capacidade como sendo necessria, oc pode identificar tecnologias que
proero isto.
0.0 +utori'ao
Autori#ao se refere ao processo de conceder priilgios para processos e, fundamentalmente, usurios.
Hsto difere daquela autenticao que o processo de identificao de um usurio. 6ma e# identificados
*seguramente+, os priilgios, direitos, propriedade e aes permisseis do usurio so determinados
atras da autori#ao.
;istar e!plicitamente as atiidades autori#adas de cada usurio *e processo de usurio+ com respeito a
todos os recursos *o%&etos+ impossel em um sistema ra#oel. 8m um sistema real certas tcnicas so
usadas para simplificar o processo de conceder e erificar autori#aes.
6ma a%ordagem, populari#ada em sistemas de 6NHY, associar a cada o%&eto trs classes de usurio,
proprietrio, grupo e mundo. ) proprietrio o criador do o%&eto ou o usurio associado como
proprietrio pelo super usurio. As permisses de proprietrio *leitura, escrita e e!ecuo+ aplicam$se
somente para o proprietrio. 6m grupo uma coleo de usurios que compartilham direitos de acesso
so%re um o%&eto. As permisses de grupo *leitura, escrita e e!ecuo+ aplicam$se a todos os usurios no
grupo *e!ceto o proprietrio+. ) mundo refere$se a todos outros com acesso ao sistema. As permisses de
mundo *leitura, escrita e e!ecuo+ aplicam$se a todos os usurios *menos o proprietrio e mem%ros do
grupo+.
)utra a%ordagem associar a um o%&eto uma lista que e!plicitamente contm a identidade de todos
usurios permitidos *ou grupos+. 8sta uma ;ista de .ontrole de Acesso *A.;+. A antagem de A.;s
que elas so
facilmente mantidas *uma lista central p(r o%&eto+ e muito fcil erificar isualmente quem tem acesso
ao que. As desantagens so os recursos e!tras e!igidos arma#enar tais listas, como tam%m o asto
nDmero de listas requeridas para sistemas grandes.
0.: +uditoria
8sta seo co%re os procedimentos para coletar os dados gerados pela atiidade de rede, que podem ser
Dteis para analisar a segurana de uma rede e responder a incidentes de segurana.
-@
0.:.1 O que coletar
>ados de auditoria deeriam incluir qualquer tentatia de o%ter um nel de segurana diferente p(r
qualquer pessoa, processo, ou outra entidade da rede. Hsto inclui 2login2 e 2logout2, acesso de super$
usurio *ou o equialente no$6NHY+, gerao de tquete *para Qer%eros, p(r e!emplo+ e qualquer outra
mudana de acesso ou estado. : especialmente importante notar o acesso 2anon7mous2 ou 2guest2 a
seridores pD%licos.
)s dados reais a coletar iro diferir para locais diferentes e para mudanas de diferentes tipos de acesso
dentro de um local. 8m geral, as informaes que oc quer coletar incluem, c/digo do usurio e nome
do host para login e logoutF direitos de acessos prios e noosF e um 2timestamp2. : claro, h muito mais
informaes que poderiam ser coletadas, dependendo do que o sistema torna disponel e quanto espao
est disponel para arma#enar aquelas informaes.
6ma nota muito importante, no colete senhas. Hsto cria uma %recha potencialmente enorme na segurana
se os registros de auditoria forem inadequadamente acessados. 9am%m no colete senhas incorretas, &
que elas diferem das senhas lidas somente p(r um caracter ou transposio.
0.:.2 Processo de -oleta
) processo de coleta deeria ser ordenado pelo host ou recurso sendo acessado. >ependendo da
importAncia dos dados e a necessidade de t$los localmente em instAncias nas quais os serios esto
sendo negados, os dados poderiam ser guardados localmente ao recurso at que se&am necessrios ou
serem transmitidos para arma#enamento ap/s cada eento.
4 %asicamente trs formas de arma#enar registros de auditoria, em um arquio de leitura e escrita em um
host, em um dispositio do tipo escrea uma e#, leia rias *p(r e!emplo um .>$1)K ou uma unidade
de fita especialmente configurada+, ou num dispositio somente de escrita *p(r e!emplo uma impressora+.
.ada mtodo tem suas antagens e desantagens.
) registro em um sistema de arquios o que consome recursos menos intensamente dentre os trs
mtodos. 8le permite acesso instantAneo aos registros para anlise, o que pode ser importante se um
ataque est em curso. 8ntretanto, tam%m o mtodo menos confiel. Se o host que efetua o registro foi
comprometido, o sistema de arquios usualmente a primeira coisa onde irF um intruso poderia
facilmente aco%ertar rastear uma intruso.
.oletar dados de auditoria em um dispositio de escrita Dnica ligeiramente mais tra%alhoso de
configurar que um simples arquio, mas ele tem a significante antagem da segurana significatiamente
aumentada porque um intruso no poderia alterar os dados indicadores de que uma inaso aconteceu. A
desantagem deste mtodo a necessidade de manter um fornecimento de meio de arma#enamento e o
custo desse meio. 9am%m, os dados podem no estar instantaneamente disponeis.
1egistro em impressora Dtil em sistemas onde registros *2logs2+ permanentes e imediatos so
necessrios. 6m sistema de tempo real um e!emplo disto, onde o ponto e!ato de falha ou ataque dee
ser registrado. 6ma impressora laser, ou outro dispositio que %uferi#a dados *p(r e!emplo um seridor
de impresso+ podem sofrer de dados perdidos se os %uffers contm os dados necessrios num instante
crtico. A desantagem de, literalmente, trilhas de papel a necessidade de asculhar os registros a mo.
4 tam%m a questo de tornar seguro o caminho entre o dispositio que gera o registro e o que realmente
arma#ena o registro *p(r e!emplo um seridor de arquios, uma unidade de fitaL.>$1)K, uma
impressora+. Se o caminho est comprometido, o registro pode ser parado ou adulterado ou am%os. 8m
um mundo ideal, o dispositio de registro estaria diretamente ligado p(r um simples e Dnico ca%o ponto$
a$ponto. .omo isto usualmente impraticel, o caminho deeria passar p(r um nDmero mnimo de redes
e roteadores. Kesmo que os registros possam ser %loqueados, adulterao pode ser eitada com somas de
erificao criptogrficas *proaelmente no necessrio criptografar os registros porque eês no
deeriam conter informaes sensitias em primeiro lugar.
-B
0.:.$ -arga da -oleta
.oletar dados de auditoria pode resultar em um rpido acDmulo de octetos, logo a disponi%ilidade de
arma#enamento para estas informaes deem ser consideradas desde cedo. 8!istem poucas maneiras de
redu#ir o espao de arma#enamento e!igido. 'rimeiro, os dados podem ser compactados, usando um de
muitos mtodos. )u, o espao e!igido pode ser minimi#ado guardando dados p(r um perodo mais curto
de tempo com somente os sumrios de dados sendo guardados em arquios de longo pra#o. 6m grande
inconeniente deste Dltimo mtodo enole a resposta a incidentes. GreqOentemente, um incidente & em
ocorrendo p(r algum perodo de tempo, quando um local o perce%e e comea a inestigar. Neste
momento muito Dtil ter disponeis registros de auditoria detalhados. Se estes so apenas sumrios, pode
no haer detalhes suficientes para tratar plenamente o incidente.
0.:.0 )anipulando e Preser&ando os !ados de +uditoria
)s dados de auditoria deeriam estar entre aqueles mais protegidos no local e nos %acIups. Se um intruso
ganhasse acesso aos registros de auditoria, no s/ os dados, mas tam%m os pr/prios sistemas correriam
riscos.
>ados de auditoria podem tam%m se tornar chaes para a inestigao, apreenso e acusao do autor de
um incidente. '(r esta ra#o, recomendel %uscar a orientao da equipe &urdica ao decidir como os
dados de auditoria deem ser tratados. Hsto deeria acontecer antes que um incidente ocorra.
Se um plano de manipulao de dados no for adequadamente definido antes de um incidente, isso pode
significar que no h como recorrer do resultado de um eento, e isso pode criar responsa%ilidades
resultantes do tratamento impr/prio dos dados.
0.:.: -onsidera;es <egais
>eido ao conteDdo dos dados de auditoria, h um nDmero de questes que surgem que poderiam precisar
da ateno da sua equipe &urdica. Se oc coleta e sala dados de auditoria, oc precisa estar preparado
para as conseqOncias resultantes tanto da sua e!istncia como do seu conteDdo.
6ma rea di# respeito a priacidade dos indiduos. 8m certas instAncias, os dados de auditoria podem
conter informaes pessoais. A inestigao nos dados, ainda que para uma erificao de rotina da
segurana do sistema, poderia representar uma inaso de priacidade.
6ma segunda rea de preocupao enole o conhecimento de comportamento intrusio proeniente de
seu local. Se uma organi#ao mantm dados de auditoria, ser ela responsel p(r e!amin$los para
inestigar incidentes J Se um host em uma organi#ao usado como uma %ase de lanamento para um
ataque contra outra organi#ao, pode a segunda organi#ao usar os dados de auditoria da primeira
organi#ao para proar negligncia p(r parte da primeira J
'retende$se que os e!emplos acima se&am compreensios, mas eles deeriam motiar sua organi#ao a
considerar as questes legais enolidas com dados de auditoria.
0.= +cesso
0.=.1 +cesso 3sico
1estrin&a o acesso fsico aos hosts, permitindo acesso somente a aquelas pessoas que deem us$los.
4osts incluem terminais confieis *ou se&a, terminais que permitem uso no autenticado tais como
consoles do sistema, terminais de operadores e terminais dedicados a tarefas especiais+, e
microcomputadores e estaes de tra%alho indiiduais, especialmente aqueles conectados a sua rede.
.ertifique$se de que as reas de tra%alho das pessoas se a&usta %em "s restries de acessoF caso contrrio
elas encontraro maneiras de eitar sua segurana fsica *p(r e!emplo portas fechadas a%rindo+.
-C
Kantenha c/pias originais e %acIup de programas e dados seguras. Alm de mant$los em %oas condies
para fins de %acIup, eles deem ser protegidos contra furtos. : importante manter %acIups em uma
locali#ao separada dos originais, no somente em considerao a danos, mas tam%m para proteger
contra furtos.
4osts portteis so um risco particular. .ertifique$se que eles no causaro pro%lemas se um computador
porttil de seu pessoal for rou%ado. .onsidere o desenolimento de polticas para as espcies de dados
que deeriam ser permitidas residirem em discos de computadores portteis %em como a maneira pela
qual os dados deeriam ser protegidos *p(r e!emplo criptografia+ quando estiessem em computadores
portteis.
)utras reas onde o acesso fsico deeria ser restringido so os ga%inetes de fiao e elementos
importantes de rede como seridores de arquios, hosts seridores de nomes e roteadores.
0.=.2 -one*;es de 1ede >?al@-Ap>
'(r cone!es de rede 25alI$up2, nos referimos a pontos de cone!o locali#ados a fim de proporcionar
uma maneira coneniente para usurios conectarem um host porttil a sua rede.
.onsidere que oc precise fornecer este serio, tendo em mente que isto permite a qualquer usurio
conectar um host no autori#ado a sua rede. Hsto aumenta o risco de ataques usando tcnicas tais como
corrupo *2spoofing2+ de endereos H', espionagem *2sniffing2+ de pacotes, etc. A gerncia da instalao
e os usurios deem estimar os riscos enolidos. Se oc decide fornecer cone!es 25alI$up2, plane&e o
serio cuidadosamente e defina precisamente onde oc ir fornec$lo a fim de que oc possa assegurar
a segurana de acesso fsico necessria.
6m host 25alI$up2 deeria ser autenticado antes que se&a permitido ao usurio do mesmo acessar
recursos na sua rede. .omo uma alternatia, pode ser possel controlar o acesso fsico. '(r e!emplo, se o
serio destina$se a estudantes, oc poderia fornecer tomadas de cone!o 25alI$up2 somente nos
la%orat/rios de estudantes.
Se oc est fornecendo acesso 25alI$up2 para isitantes se conectarem de olta a suas redes de origem
*p(r e!emplo para ler mail, etc+ em sua facilidade, considere o uso de uma su%$rede separada que no tem
nenhuma conectiidade com a rede interna.
Gique de olho em qualquer rea que contem acesso no monitorado " rede, tais como escrit/rios a#ios.
'ode ser sensato desconectar tais reas no ga%inete de ca%eamento, e considerar o uso de hu%s seguros e
monitoramento de tentatias de cone!o de hosts no autori#ados.
0.=.$ Outras Becnologias de 1ede
9ecnologias consideradas aqui incluem Y.0?, 1>SH, SK>S, >>S e Grame 1ela7. 9odas so fornecidas
atras de enlaces fsicos que passam p(r centrais telef(nicas, fornecendo o potencial para que estes
se&am desiados. )s 2cracIers2 esto certamente interessados em comutaes telef(nicas %em como em
redes de dados [
.om tecnologias comutadas, use circuitos irtuais permanentes *'_.s+ ou grupos de usurios fechados
sempre que possel. 9ecnologias que fornecem autenticao eLou criptografia *tais como H'@+ esto
eoluindo rapidamenteF considere us$las nos enlaces onde a segurana importante.
0.=.0 )odems
0.=.0.1 <in5as de )odem de&em ser 9erenciadas
Ainda que elas forneam acesso coneniente a um local para todos seus usurios, elas podem tam%m
fornecer um desio efetio dos fire5alls do local. '(r esta ra#o essencial manter um controle
apropriado dos modems.
No permite aos usurios instalar uma linha de modem sem uma autori#ao apropriada. Hsto inclui as
instalaes temporrias *p(r e!emplo, pendurar um modem em um aparelho de fa! ou uma linha
telef(nica durante a noite.
-E
9enha um registro de todas as suas linhas de modem e mantenha$o atuali#ado. .ondu#a erificaes
regulares *idealmente automati#adas+ dos modems no autori#ados no 2site2.
0.=.0.2 AsuCrios de !iscagem de&em ser +utenticados
A erificao do c/digo de usurio e da senha deeria ser completada antes que o usurio possa ter acesso
a qualquer coisa na sua rede. .onsideraes normais so%re segurana de senhas so particularmente
importantes *e&a a seo =.-.-+.
;em%re que linhas telef(nicas podem ser escutadas clandestinamente, e que muito fcil interceptar
mensagens em telefones celulares. )s modems modernos de alta elocidade usam tcnicas de modulao
mais sofisticadas que tornam$nos mais difceis de monitorar, mas prudente assumir que 2hacIers2
sa%em como escutar escondidos suas linhas. '(r esta ra#o, oc deeria usar senhas 2one$time2 sempre
que possel.
: de grande utilidade ter um Dnico ponto de entrada para acessos discados *p(r e!emplo um Dnico grande
2pool2 de modems+ para que todos usurios se&am autenticados da mesma forma. )s usurios iro
eentualmente digitar incorretamente uma senha. 8sta%elea um interalo curto $ digamos de dois
segundos $ ap/s o primeiro e o segundo 2login2 falho, e force uma descone!o ap/s o terceiro. Hsto ir
frear ataques de senha automati#ados. No diga ao usurio se foi o seu c/digo, a senha, ou am%os que
estaam errados.
0.=.0.$ -apacidade de -5amada 1e&ersa
Alguns seridores 2dial$in2 oferecem facilidades de chamada reersa *ou se&a, o usurio disca e
autenticado, ento o sistema desconecta a chamada e chama de olta no nDmero especificado+. A
chamada reersa Dtil porque se algum estaa para adiinhar um c/digo e senha de usurio,
desconectado e o sistema chama de olta o usurio real cu&a senha foi que%radaF chamadas aleat/rias de
um seridor so suspeitas, quando muito. Hsto significa que os usurios podem se logar somente de um
Dnico local *para onde o seridor est configurado para discar de olta+, e claro podem e!istir despesas
associadas com a locali#ao da chamada reersa.
8ste recurso deeria ser usado com cuidadoF ele pode ser facilmente desiado. No mnimo, certifique$se
que a chamada de retorno nunca feita a partir do mesmo modem que rece%eu a chamada de entrada. 8m
geral, ainda que a chamada reersa possa aumentar a segurana de modems, oc no deeria depender
e!clusiamente dela.
0.=.0.0 Bodos os <ogins de&eriam ser 1egistrados no <og
9odos os logins %em$sucedidos ou no deeriam ser registrados no log. 8ntretanto, no guarde senhas
corretas no log. Ao ins registre$as como uma simples tentatia de login %em$sucedida. ` a maioria das
senhas so digitas incorretamente p(r usurios autori#ados. 8las ariam somente p(r um Dnico caracter da
senha real. Alm disso se oc no puder manter tal log seguro, no as registre em hip/tese alguma.
Se a identificao da linha chamadora est disponel, tome antagem disso para registrar o nDmero
chamador para cada tentatia de login. Se&a sensel as questes de priacidade atingidas pela
identificao da linha chamadora. 9am%m este&a ciente que a identificao da linha chamadora no dee
ser considerada confiel *& que intrusos tm sa%ido como arrom%ar comutaes telef(nicas e 2rotear2
nDmeros de telefone ou fa#er outras mudanas+F use os dados para fins informatios somente, no para
autenticao.
0.=.0.: 8scol5a seu >.anner> de +(ertura -uidadosamente
Kuitos locais usam um 2default2 do sistema contido em um arquio de mensagem do dia para seu
2%anner2 de a%ertura. Hnfeli#mente, isto freqOentemente inclui o tipo de hard5are e sistema operacional
do host. Hsto pode fornecer informaes aliosas para um possel intruso. Ao ins, cada local deeria
criar seu pr/prio 2%anner2 de login especifico, tomando cuidado para somente incluir as informaes
necessrias.
0U
8!i%a um 2%anner2 curto, mas no oferea um nome 2conidatio2 *p(r e!emplo 26niersidade Yab2,
2Sistema de 1egistro de 8studantes2+. Ao ins, fornea o nome de seu local, uma adertncia curta de
que as sesses podem ser monitoradas, e um 2prompt2 de c/digo de usurio e senha. _erifique posseis
questes legais relacionadas ao te!to que oc pe no 2%anner2.
'ara aplicaes de alta segurana considere o uso de uma senha 2cega2 *isto , no d nenhuma resposta a
uma chamada que chega at que o usurio tenha digitado uma senha+. Hsto efetiamente simula um
modem morto.
0.=.0.= +utenticao >!ial-Out>
6surios 2dial$out2 deeriam ser tam%m autenticados, particularmente porque seu local ter de pagar
pelas despesas telef(nicas.
àmais permita discagem de sada a partir de uma chamada de entrada no autenticada, e considere se
oc ir permit$la a partir de uma autenticada. ) o%&etio aqui eitar que chamadores usem seu 2pool2
de modems como parte de uma cadeia de 2logins2. Hsto pode ser difcil de detectar, em especial se um
2hacIer2 esta%elece um caminho atras de muitos hosts em seu local.
No mnimo no permita que os mesmos modems e linhas telef(nicas se&am usadas para discagem de
entrada e de sada. Hsto pode ser facilmente implementado se oc operar 2pools2 de modems separados
para discagem de entrada e discagem de sada.
0.=.0.D Borne sua Programao de )odems a >Pro&a de .ala> tanto quanto o
Poss&el
.ertifique$se de que os modems no podem ser reprogramados enquanto estierem em serio. No
mnimo, certifique$se que trs sinais de mais *2ccc2+ no colocaro seus modems de discagem de entrada
em modo de comando [
'rograme seus modems para 2resetarem2 sua configurao padro no incio de cada chamada. 8sta
precauo proteger oc contra a reprogramao acidental de seus modems. 21esetando$os2 tanto no
incio como no final de cada chamada ir assegurar um nel regularmente alto de confidencialidade que
um noo chamador no herdar da sesso do chamador prio.
_erifique se seus modems encerram chamadas limpamente. Nuando um usurio se desloga de um
seridor de acesso, erifique se o seridor desliga a linha telef(nica adequadamente. : igualmente
importante que o seridor force 2logouts2 sempre que as sesses estierem atias e o usurio desliga
inesperadamente.
0.D Protegendo .ac@ups
) procedimento de criar %acIups uma parte clssica de operar um sistema de computao. >entro do
conte!to deste documento, %acIups so tratados como parte do plano glo%al de segurana de um local. 4
muitos aspectos de %acIups que so importantes neste conte!to,
-. .ertifique$se de que seu local est criando %acIups
0. .ertifique$se de que seu local est usando arma#enamento em separado para os %acIups. A
locali#ao deeria ser cuidadosamente selecionada tanto para a sua segurana como para a sua
disponi%ilidade.
3. .onsidere criptografar seus %acIups para proporcionar proteo adicional das informaes uma
e# que esto guardadas em separado. 8ntretanto, este&a ciente de que oc precisar de um %om
esquema de gerncia de chaes para que oc possa recuperar os dados em qualquer ponto no
futuro. 9am%m, certifique$se de que oc ter acesso aos programas de decodificao
necessrios no futuro quando oc precisar efetuar a decodificao.
=. No assuma sempre que seus %acIups esto %ons. 9em haido muitos e!emplos de incidentes de
segurana de computador que ocorreram p(r longos perodos de tempo antes de serem notados.
8m tais casos, %acIups dos sistemas afetados esto tam%m corrompidos.
0-
?. 'eriodicamente erifique a correo e a comple!o de seus %acIups.
:. Bratamento de Incidentes de Segurana
8ste captulo do documento ser um guia a ser usado antes, durante, e depois de um incidente de
segurana de computador que acontea em host, rede, site, ou am%iente de multi$site. A filosofia de
operao no caso de uma %recha de segurana de computador reagir conforme um plano. Hsto erdade
se a %recha o resultado de um ataque de intruso e!terno, dano no intencional, um estudante testando
algum programa noo para e!plorar uma ulnera%ilidade de soft5are, ou um empregado enfadado. .ada
um dos posseis tipos de eentos, como esses listados, deeriam ser preistos com antecedncia p(r
planos de contingncia adequados.
Segurana de computador tradicional, enquanto %astante importante no plano glo%al de segurana do site,
normalmente presta pouca ateno em como agir de fato uma e# que um ataque ocorra. ) resultado
que quando um ataque est ocorrendo, so tomadas muitas decises com pressa e podem estar
pre&udicando a identificao da fonte do incidente, a coleta de eidncias para serem usadas em esforos
de prossecuo, preparar para a recuperao do sistema, e protegendo os dados aliosos contidos no
sistema.
6m dos mais importantes, mas freqOentemente ignorados, %enefcios paro tratamento eficiente do
incidente a economia. Nuando am%os pessoal tcnico e administratio respondem a um incidente, isto
requer recursos considereis. Se treinados para lidar com incidentes efica#mente, menos tempo de
pessoal requerido quando um acontece.
>eido " Hnternet a maioria dos incidentes no esto restritos a um Dnico local. _ulnera%ilidade de
sistemas operacionais aplicam$se *em alguns casos+ para rios milhes de sistemas, e muitas
ulnera%ilidades so e!ploradas dentro da pr/pria rede. 8nto, ital que todos os sites com partes
enolidas se&am informados o mais cedo possel.
)utro %enefcio relacionado a relaes pD%licas. Notcias so%re incidentes de segurana de
computadores tendem a danificar a imagem de uma organi#ao entre os clientes atuais ou potenciais. )
tratamento eficiente de incidentes minimi#a a e!posio negatia.
6m %enefcio final de tratamento incidente eficiente relacionado a assuntos legais. : possel que num
futuro pr/!imo organi#aes possam ser consideradas responseis porque um de seus nodos foi usado
para lanar um ataque " rede. 8m uma situao semelhante, podem ser processadas as pessoas que
desenolem remendos ou 5orIarounds, caso estes se&am inefica#es, resultando em comprometimento
dos sistemas, ou se danificam os mesmos. Sa%endo so%re ulnera%ilidades do sistema operacional e
padres de ataques, e tomando medidas apropriadas para se opor a estas ameaas potenciais, crtico para
eitar posseis pro%lemas legais.
As sees neste captulo proem um es%oo e ponto de partida para criar a poltica de seu site para tratar
incidentes de segurana. As sees so,
-. preparando e plane&ando *quais so as metas e o%&etios no tratamento de um incidente+.
0. notificao *quem deeria ser contactado no caso de um incidente+.
Z )s gerentes locais e pessoal
Z Agncias inestigatias e e!ecutoras da lei
Z <rupos que tratam de incidentes de segurana de computador
Z ;ocais afetados e enolidos
Z .omunicaes internas
Z 1elaes pD%licas e imprensa
3. identificando um incidente * um incidente e o quanto srio+.
=. tratamento *o que deeria ser feito quando um incidente acontece+.
Z Notificao *quem deeria ser notificado so%re o incidente+
00
Z 'rotegendo eidncias e logs de atiidades *que registros deeriam ser mantidos de antes, durante, e
depois do incidente+
Z .onteno *como o dano pode ser limitado+
Z 8rradicao *como eliminar as causas do incidente+
Z 1ecuperao *como resta%elecer serio e sistemas+
Z SeqOncia *que ao deeriam ser tomadas depois do incidente+
?. conseqOncias *quais as implicaes de incidentes passados+.
@. resposta administratia para incidentes.
) resto deste captulo detalhar os assuntos enolidos em cada dos t/picos importantes listados acima, e
pro alguma direo so%re o que deeria ser includo em uma poltica do site para tratar incidentes.
:.1 Preparando e Plane,ando o Bratamento de Incidentes
'arte do tratamento de um incidente estar preparado para responder a um incidente antes dele acontecer
em primeiro lugar. Hsto inclui esta%elecer um nel satisfat/rio de protees como o e!plicado nos
captulos anteriores. Ga#er isto a&udaria seu site a preenir incidentes como tam%m limitar dano potencial
resultante de incidentes. 'roteo tam%m inclui preparar diretri#es de tratamento de incidentes como
parte de um plano de contingncia para sua organi#ao ou site. 9er planos escritos elimina muito da
am%igOidade que acontece durante um incidente, e condu#ir a um con&unto mais apropriado e completo
de respostas. : italmente importante testar o plano proposto antes de um incidente acontecer atras de
2dr7 runs2. 6m grupo poderia considerar a contratao de um grupo$tigre at mesmo para agir em
paralelo com o 2dr7 runs2 *Nota, um grupo$tigre um grupo de especialistas que tentam penetrar a
segurana de um sistema.+
-. Aprender a responder efica#mente a um incidente importante p(r um nDmero de ra#es,
0. proteger os recursos que poderiam ser comprometidos
3. proteger os recursos que poderiam ser utili#ados mais eficientemente se um incidente no
requeresse seus serios
=. seguir os regulamentos *do goerno ou outros+
?. preenir o uso de seus sistemas em ataques contra outros sistemas *que poderia implicar em
o%rigaes legais+
@. minimi#ar o potencial para e!posio negatia
.omo em qualquer con&unto de procedimentos preiamente plane&ados, dee ser dada a ateno a um
con&unto de o%&etios para tratar incidentes. 8stas metas tero prioridades diferentes dependendo do site.
6m con&unto especfico de o%&etios pode ser identificado,
-. desco%rir como aconteceu.
0. desco%rir como eitar e!plorao adicional da mesma ulnera%ilidade.
3. eitar a e!panso e incidentes adicionais.
=. aaliar o impacto e dano do incidente.
?. recuperar$se do incidente.
@. atuali#ar polticas e procedimentos conforme necessrio.
B. desco%rir quem fe# isto *se apropriado e possel+.
>eido " nature#a do incidente, pode haer um conflito entre analisar a fonte original de um pro%lema e
resta%elecer sistemas e serios. Ketas glo%ais *como assegurar a integridade de sistemas crticos+ pode
ser uma ra#o para no analisar um incidente. : claro, esta uma deciso de administrao importanteF
mas todas as partes enolidas deem estar conscientes que sem anlise pode o mesmo incidente
acontecer noamente.
9am%m importante priori#ar as aes a ser tomadas durante um incidente com %astante antecendncia
antes do incidente acontecer. Vs e#es um incidente pode ser to comple!o que impossel fa#er tudo
03
ao mesmo tempo para responder a eleF prioridades so essenciais. 8m%ora prioridades ariem de
instituio para instituio, as seguintes sugestes de prioridades podem serir como ponto de partida
para definir a resposta de sua organi#ao,
'rioridade - $$prote&a ida humana e segurana das pessoasF ida humana sempre tem precedncia
so%re outras consideraes.
'rioridade 0 $$ proteger dados importantes. 'reina e!plorao sistemas, redes ou locais importantes.
Hnforme sistemas, redes ou locais importantes que tenham sido afetados so%re inases acontecidas.
*8ste&a atento aos regulamentos de seu site ou do goerno+
'rioridade 3$$prote&a outros dados incluindo dados proprietrios, cientficos, administratios e outros,
pois perda de dados cara em termos de recursos. 'reina e!ploraes de outros sistemas, redes ou
locais e informe os sistemas, redes ou locais afetados so%re inases %em sucedidas.
'rioridade =$$preina dano para sistemas *p(r e!emplo, perda ou alterao de arquios de sistemas,
danos a unidades de disco, etc.+. >anos em sistemas pode resultar em custo de recuperao alto.
'rioridade ?$$minimi#e a interrupo dos recursos de computao*inclusie processos+. : melhor em
muitos casos desligar um sistema ou desconecta$lo de uma rede que arriscar dano para dados ou
sistemas. )s sites tero que aaliar a melhor opo entre desligar e desconectar, manter o sistema
funcionando. 'ode haer acordos de serios em lugares que podem requerer a manuteno dos
sistemas no ar mesmo com a possi%ilidade de danos adicionais. 'orm, o dano e escopo de um
incidente podem ser to e!tensos que aqueles acordos de serio podem ter que ser ignorados.
6ma implicao importante para definir prioridades que uma e# que a ida humana e consideraes de
segurana nacionais foram preistas, geralmente mais importante salar dados que soft5are e hard5are.
8m%ora indese&el ter qualquer dano ou perda durante um incidente, sistemas podem ser su%stitudos.
'orm, a perda ou comprometimento de dados *especialmente classificados ou proprietrios+
normalmente no de forma alguma um resultado aceitel.
)utra preocupao importante o efeito em outros, alm dos sistemas e redes onde o incidente acontece.
>entro dos limites impostos p(r regulamentos goernamentais sempre importante informar as partes
afetadas o mais cedo possel. >eido "s implicaes legais deste t/pico, ele deeria ser includo nos
procedimentos plane&ados para eitar demoras adicionais e incerte#as para os administradores.
Nualquer plano para responder a incidentes de segurana deeria ser guiado p(r polticas locais e
regulamentos. Sites priados e do goerno que lidem com material classificado tem regras especficas que
eles deem seguir.
As polticas escolhidas p(r seu site so%re como reagir a incidentes ir moldar sua resposta '(r e!emplo,
pode fa#er pouco sentido criar mecanismos para monitorar e rastrear intrusos se o seu site no plane&a
entrar em ao contra os intrusos caso eles se&am pegos. )utras organi#aes podem ter polticas que
afetam seus planos. .ompanhias de telefone freqOentemente li%eram informaes so%re rastreamento de
telefones apenas para agncias responseis pela e!ecuo da lei.
9ratar incidentes pode ser tedioso e requerer qualquer nDmero de tarefas rotineiras que poderiam ser
tratadas pelo pessoal de apoio. 'ara li%erar o pessoal tcnico, Dtil identificar pessoal de apoio que
a&udar com tarefas como, fotocopiar, passar fa!, etc.
:.2 2oti"icao e Pontos de -ontato
: importante esta%elecer contatos com rias pessoas antes de um incidente real acontecer. Kuitas e#es,
incidentes no so emergncias reais. Na realidade, com freqOncia oc poder tratar as atiidades
internamente. 'orm, tam%m haer muitas e#es quando outros fora de seu departamento imediato
precisaro ser includos no tratamento de incidentes. 8stes contatos adicionais incluem os gerentes locais
e os administradores de sistemas, contatos administratios para outros sites na Hnternet, e rias
0=
organi#aes inestigatias. .onhecendo estes contatos antes dos incidentes acontecerem a&udar a fa#er
seu processo de tratamento de incidentes mais eficiente.
'ara cada tipo de contato de comunicao, 'ontos de .ontato *').+ especficos deeriam ser definido.
8stes podem ser de nature#a tcnica ou administratia e podem incluir agncias legais ou inestigatias
como tam%m os proedores de serio e endedores. Ao esta%elecer estes contatos, importante decidir
quanta informao ser compartilhada com cada classe de contato. : especialmente importante definir,
com antecedncia, que informao ser compartilhada com os usurios de um site, com o pD%lico
*inclusie a imprensa+, e com outros sites.
>eterminar estes assuntos especialmente importantes para a pessoa local responsel p(r tratar o
incidente, & que essa pessoa responsel pela notificao dos outros. 6ma lista de contatos em cada
uma destas categorias representam uma economia de tempo importante para esta pessoa durante um
incidente. 'ode ser %astante difcil achar uma pessoa apropriada durante um incidente quando muitos
eentos urgentes esto acontecendo. : fortemente recomendado que os nDmeros de telefone pertinentes
*tam%m endereos de correio eletr(nicos e nDmeros de fa!+ se&am includos na poltica de segurana do
site. )s nomes e informaes de contato de todos os indiduos que estaro enolidos diretamente no
tratamento de um incidente deem ser colocados no topo desta lista.
?.0.- <erentes locais e 'essoal
Nuando um incidente est ocorrendo, uma questo importante decidir quem est encarregado de
coordenar a atiidade dos diersos &ogadores. 6m dos maiores enganos que pode ser cometido ter rias
pessoas cada qual tra%alhando independentemente, mas no tra%alhando &unto. Hsto s/ aumenta a confuso
do eento e proaelmente condu#ir a esforo desperdiado ou inefica#.
) Dnico '). pode ou no ser a pessoa responsel p(r tratar o incidente. 4 dois papis distintos a serem
preenchidos quando se est decidindo quem ser '). e quem ser a pessoa encarregada do incidente. A
pessoa encarregada do incidente tomar decises so%re a interpretao da poltica aplicada ao eento. 8m
contraste, o '). dee coordenar os esforos de todas as partes enolidas no tratamento do eento.
) '). dee ser uma pessoa com percia tcnica para coordenar com sucesso os esforos dos gerentes de
sistemas e usurios enolidos na monitorao e reao ao ataque. .uidado deeria ser tomado ao
identificar quem ser esta pessoa. No deeria ser necessariamente a mesma pessoa que tem
responsa%ilidade administratia pelos sistemas comprometidos uma e# que freqOentemente tais
administradores tem conhecimento suficiente apenas para o uso dos computadores no dia$a$dia, faltando$
lhes conhecimento tcnico mais profundo.
)utra funo importante do '). manter contato com as autoridades legais competentes e outras
agncias e!ternas para assegurar que o enolimento multi$agncia. ) nel de enolimento ser
determinado atras de decises de administrao %em como p(r restries legais.
6m Dnico '). tam%m deeria ser a Dnica pessoa encarregada de coletar eidncias, desde que como
regra geral, quanto mais pessoas tocam uma pea potencial de eidncia, o maior a possi%ilidade de que
esta se&a inadmissel no tri%unal. 'ara assegurar que as eidncias sero aceiteis para a comunidade
legal, a coleta de eidncias dee ser feita seguindo$se procedimentos predefinidos, de acordo com leis
locais e regulamentos legais.
6m das tarefas mais crticas para o '). a coordenao de todos os processos pertinentes.
1esponsa%ilidades podem ser distri%udas so%re o site inteiro, enolendo mDltiplos departamentos ou
grupos independentes. Hsto ir requerer um esforo %em coordenado para alcanar sucesso glo%al. A
situao fica ainda mais comple!a se mDltiplos sites esto enolidos. Nuando isto acontece, raramente
um Dnico '). num site poder coordenar o tratamento do incidente inteiro adequadamente. Ao ins
disso, deeriam ser enolidos grupos apropriados de resposta a incidentes.
) processo de tratamento de incidentes deeria proer alguns mecanismos de ampliao. 'ara definir tal
mecanismo, os sites precisaro criar um esquema de classificao interno para incidentes. Associado a
cada nel de incidente estaro o '). e procedimentos apropriados. .onforme um incidente aumenta,
pode haer uma mudana do '). que precisar ser comunicada a todos os outros enolidos no
tratamento do incidente. Nuando uma mudana no '). acontece, o '). antigo dee fa#er um resumo
para o '). noo so%re toda a informao %acIground.
0?
Ginalmente, usurios tm que sa%er informar incidentes suspeitos. )s sites deem esta%elecer
procedimentos de informe que iro funcionar durante e fora de horas de tra%alho normais. 24elp desIs2
freqOentemente so usadas para rece%er estes relat/rios durante horas de tra%alho normais, enquanto
%eepers e telefones podem ser usados fora de hora.
:.2.2 +gEncias de In&estigao e de 8*ecuo da <ei
No caso de um incidente que tem conseqOncias legais, importante esta%elecer contato com agncias
inestigatias *p(r e!emplo, o GPH e Serio Secreto nos 8.6.A.+ o mais cedo possel. As autoridades
locais, escrit/rios de segurana locais, e departamento policial do campus tam%m deeriam ser
informados conforme apropriado. 8sta seo descree muitos dos assuntos que sero confrontados, mas
reconhecido que cada organi#ao ter suas pr/prias leis e regulamentos locais e do goerno que tero
impacto so%re como eles interagem com a e!ecuo da lei e agncias inestigatias. ) ponto mais
importante que cada site precisa tra%alhar estes assuntos.
6ma ra#o primria p(r determinar estes pontos de contato com antecedncia, antes de um incidente
que uma e# que um ataque maior est em progresso, h pouco tempo para chamar estas agncias para
determinar e!atamente quem o ponto de contato correto. )utra ra#o que importante cooperar com
estas agncias de maneira a nutrir uma %oa relao de tra%alho, e a estar de acordo com os procedimentos
de tra%alho destas agncias. .onhecer os procedimentos de funcionamento com antecedncia, e as
e!pectatias de seu ponto de contato um grande passo nesta direo. '(r e!emplo, importante &untar
eidncias que sero admisseis em qualquer procedimento legal su%seqOente, e isto requer
conhecimento anterior de como &untar tal eidncia. 6ma ra#o final para esta%elecer contatos o mais
cedo possel que impossel conhecer que agncia em particular assumir a &urisdio em um dado
incidente. Ga#er contatos e achar os canais apropriados cedo faro a resposta a um incidente transcorrer
consideraelmente mais suaemente.
Se sua organi#ao ou site tem um conselho legal, oc precisa notificar esta entidade logo em seguida
que oc perce%er que um incidente est ocorrendo. No mnimo, seu conselho legal precisa estar
enolido para proteger os interesses legais e financeiros de seu site ou organi#ao. 8!istem muitos
assuntos legais e prticos, alguns deles sendo,
*-+ Se seu site ou organi#ao est disposta a arriscar pu%licidade ou e!posio negatia para cooperar
com esforos de prossecuo legais.
*0+ )%rigao 2do5nstream2$se oc dei!a um sistema comprometido como est para poder ser
monitorado e outro computador danificado porque o ataque se originou de seu sistema, seu site ou
organi#ao pode ser responsel p(r danos incorridos.
*3+ >istri%uio de informao$$se seu site ou organi#ao distri%ui informaes so%re um ataque no qual
outro site ou organi#ao pode ser enolida ou a ulnera%ilidade dm um produto isso pode afetar a
ha%ilidade de comerciali#ar aquele produto, seu site ou organi#ao pode ser noamente responsa%ili#ado
p(r qualquer dano *incluindo dano de reputao+.
*=+ )%rigaes deido a monitorao$$seu site ou organi#ao pode ser processada se usurios em seu site
ou em outro lugar desco%rem que seu site est monitorando atiidades das contas sem informar os
usurios.
Hnfeli#mente, no h ainda nenhum precedente claro nas o%rigaes ou responsa%ilidades de organi#aes
enolidas em um incidente de segurana ou quem poderia ser enolido no apoio a um esforo
inestigatio. Hnestigadores encora&aro freqOentemente organi#aes para a&udar a rastrear e monitorar
intrusos. 1ealmente, a maioria dos inestigadores no pode procurar intruses de computador sem apoio
e!tenso das organi#aes enolidas. 'orm, inestigadores no podem proer proteo contra
reiindicaes de o%rigao, e estes tipos de esforos podem se arrastar p(r meses e tomar muito esforo.
'(r outro lado, o conselho legal de uma organi#ao pode aconselhar precauo e!trema e sugerir que
atiidades de rastreamento se&am detidas e um intruso mantido fora do sistema. Hsto, em si mesmo, pode
no proer proteo de responsa%ilidades, e pode impedir os inestigadores de identificar o perpetrador.
0@
) equil%rio entre apoiar atiidade inestigatia e limitar o%rigao enganador. _oc precisar
considerar as sugestes de seu conselho legal e o dano que o intruso est causando *se algum+ ao tomar
sua deciso so%re o que fa#er durante qualquer incidente em particular.
Seu conselho legal tam%m deeria ser enolido em qualquer deciso para contactar agncias
inestigatias quando um incidente acontece em seu site. A deciso para coordenar esforos com agncias
inestigatias de seu site ou organi#ao. 8noler seu conselho legal tam%m nutrir a coordenao
multi$nel entre seu site e a agncia inestigatia enolida, o que resulta em uma diiso eficiente de
tra%alho. )utro resultado que proel que oc o%tenha direcionamento que o a&udar a eitar futuros
enganos legais.
Ginalmente, sua conselho legal deeria aaliar o procedimentos escritos de seu site para responder a
incidentes. : essencial o%ter uma aproao de uma perspectia legal antes que oc de fato lee a ca%o
estes procedimentos.
: ital, quando lidando com agncias inestigatias, erificar que a pessoa que chama pedindo
informao uma representante legtima da agncia em questo. Hnfeli#mente, muitas pessoas %em
intencionadas tm a#ado detalhes senseis so%re incidentes sem perce%er, permitido pessoas sem
autori#ao nos sistemas, etc., porque um isitante disfarou$se como representante de uma agncia
goernamental. *Nota, esta palara de precauo na erdade se aplica a todos os contatos e!ternos.+
6ma considerao semelhante enole usar meios seguros de comunicao. 'orque muitos atacantes de
rede podem desiar correio eletr(nico facilmente, eite usar correio eletr(nico para comunicar$se com
outras agncias *como %em com outros lidando com o incidente em questo+. ;inhas telef(nicas inseguras
*os telefones normalmente usados no mundo empresarial+ tam%m so alos freqOentes para escutas p(r
intrusos de rede, logo tenha cuidado[
No h um con&unto esta%elecido de regras para responder a um incidente quando o goerno local
enolido. Normalmente *nos 8.6.A.+, e!ceto atras de ordem legal, nenhuma agncia pode o for$lo a
monitorar, desconectar da rede, eitar contato de telefone com os atacantes suspeitos, etc. .ada
organi#ao ter um con&unto de leis e regulamentos locais e nacionais aos quais deem ser aderidos
quando do tratamento de incidentes. : recomendado que cada site este&a familiari#ado com essas leis e
regulamentos, e identifique e conhea os contatos para agncias com &urisdio com antecedncia do
tratamento de um incidente.
:.2.$ 9rupos de Bratamento de Incidentes de Segurana de
-omputadores
4 atualmente rios <rupos de 1esposta a Hncidentes de Segurana *.SH19s+ como o .819
.oordination .enter, o >GN$.819 alemo, e outros ao redor do glo%o. 8sses grupos e!istem para muitas
agncias goernamentais importantes e corporaes grandes. Se um desses grupos est disponel,
notific$lo deeria ser de considerao primria durante as fases iniciais de um incidente. 8stes times so
responseis p(r coordenar incidentes de segurana de computador numa srie de sites e entidades
maiores. At mesmo acreditando$se que o incidente est contido dentro de um Dnico site, possel que a
informao disponel p(r um grupo de resposta possa a&udar a solucionar o incidente completamente.
Se determinado que a %recha aconteceu deido a uma falha no hard5are do sistema ou soft5are, o
endedor *ou proedor+ e um <rupos de 9ratamento de Hncidentes de Segurana de .omputadores dee
ser notificado to logo possel. Hsto especialmente importante porque muitos outros sistemas so
ulnereis, e este endedor e grupos de resposta podem a&udar a disseminar a&uda para outros locais
afetados.
Ao montar uma poltica de site para tratamento de incidente, pode ser dese&el criar um su%grupo,
semelhante aos que & e!istem, que ser responsel p(r tratar de incidentes de segurana para o site *ou
organi#ao+. Se tal grupo criado, essencial que linhas de comunicao se&am a%ertas entre este grupo
e outros. 6ma e# que um incidente ocorre, difcil a%rir um dilogo confiante entres grupos, se no
haia nenhum antes.
0B
:.2.0 Sites +"etados e 8n&ol&idos
Se um incidente tem um impacto em outros sites, inform$los uma %oa prtica. 'ode ser /%io desde o
princpio que o incidente no limitado para o site local, ou isso pode s/ emergir depois de anlise
adicional.
.ada site pode escolher contatar outros sites diretamente ou passar a informao para um grupo de
resposta a incidentes apropriado. : freqOentemente difcil de achar o '). responsel p(r sites distantes
e o grupo de resposta poder facilitar esse contato fa#endo uso de & canais esta%elecidos.
As questes legais e de o%rigao que surgem de um incidente de segurana diferir de site para site. :
importante definir uma poltica para o compartilhando e logging de informao so%re outros sites antes
que um incidente acontea.
Hnformao so%re pessoas especficas especialmente sensel, e pode estar su&eito a leis de priacidade.
'ara eitar pro%lemas nesta rea, deeria ser apagada informao irreleante e uma declarao de como
tratar a informao restante deeria ser includa. 6ma declarao clara de como esta informao ser
usada essencial. Ningum que informa um site so%re um incidente de segurana quer ler so%re isto na
imprensa pD%lica. <rupos de resposta a incidentes so aliosos neste sentido. Nuando eles passam
informaes para ').s responseis, eles podem proteger o anonimato da fonte original. Kas, este&a
atento que, em muitos casos, a anlise de logs e informaes em outros sites ai reelar endereos de seu
site .
)s pro%lemas discutidos acima no deeriam ser considerados ra#es para no enoler outros sites. >e
fato, as e!perincias de grupos e!istentes reelam que a maioria dos sites informados so%re pro%lemas de
segurana nem mesmo haiam notado que seu site haia sido comprometido. Sem serem informados a
tempo, outros sites esto freqOentemente impossi%ilitados entrar em ao contra intrusos.
:.2.: -omunica;es internas
: crucial durante um incidente grande, comunicar porque certas aes esto sendo tomadas, e como se
espera que os usurios *ou departamentos+ se comportem. 8m particular, deeria ser dei!ado muito claro
para os usurios o que lhes permitido di#er *e no di#er+ para o mundo e!terno *incluindo outros
departamentos+. '(r e!emplo, no seria %om para uma organi#ao se os usurios respondessem aos
clientes com algo como, 2 8u lamento, os sistemas esto fora do ar, n/s tiemos um intruso e n/s estamos
tentando esclarecer as coisas2. Seria muito melhor se ensinassem que eles respondessem com uma
declarao preparada como, 2 ;amento, nossos sistemas no esto disponeis, eles esto sendo em
manuteno para melhor seri$lo no futuro2.
.omunicaes com os clientes e s/cios contratuais deem ser dirigidos de modo sensato, mas tam%m
sensel. 6ma pessoa pode se preparar para os assuntos principais preparando um cheIlist. Nuando um
incidente acontece, a lista pode ser usada com a adio de uma frase ou duas so%re as circunstAncias
especficas do incidente.
>epartamentos de relaes pD%licos podem ser muito Dteis durante incidentes. 8les deeriam ser
enolidos em todo o plane&amento e podem proer respostas %em construdas para uso quando contato
de fora dos departamentos e organi#aes so necessrios.
:.2.= 1ela;es p6(licas - >Press 1eleases>
4oue um tremendo crescimento na co%ertura de mdia dedicada a incidentes de segurana de
computador nos 8stados 6nidos. 9al co%ertura de imprensa est fadada a se estender a outros pases,
como a Hnternet continua crescendo e se e!pandindo internacionalmente. ;eitores de pases onde tal
ateno da mdia ainda no aconteceu, podem aprender com as e!perincias dos 8.6.A. e deeriam ser
aisados e preparado.
0C
6m dos assuntos mais importantes a considerar quando, quem, e quanto li%erar ao pD%lico em geral pela
imprensa. 4 muitos assuntos para considerar quando decidindo este ponto em particular. 'rimeiro e
antes de mais nada, se um escrit/rio de relaes pD%licas e!iste para o site importante usar este
escrit/rio como ligao para a imprensa. ) escrit/rio de relaes pD%licas treinado no tipo e formulao
de informao a serem li%eradas, e a&udar a assegurar que a imagem do site protegida durante e depois
do incidente *se possel+. 6m escrit/rio de relaes pD%licas tem a antagem de que oc pode se
comunicar francamente com eles, e pro um pra$choque entre a ateno de imprensa constante e a
necessidade do '). para manter controle so%re o incidente.
Se um escrit/rio de relaes pD%licas no est disponel, a informao, lanado " imprensa dee ser
considerada cuidadosamente. Se a informao sensel, pode ser anta&oso s/ proer mnima
informao para a imprensa. : %astante possel que qualquer informao proida " imprensa ser ista
depressa pelo perpetrador do incidente. 9am%m note que enganar a imprensa pode sair pela culatra
freqOentemente e pode causar mais dano que li%erar informaes delicadas.
8nquanto difcil de determinar com antecedncia que nel de detalhe proer " imprensa, algumas
diretri#es para serem lem%radas so,
*-+ mantenha o nel de detalhes tcnicos %ai!o. Hnformao detalhada so%re o incidente pode proer
%astante informao para outros lanarem ataques semelhantes em outros sites, ou at mesmo
danificar ha%ilidade do site para processar a parte culpada uma e# que o eento terminou.
*0+ Kantenha a especulao fora de declaraes de imprensa. 8speculao so%re quem est causando
o incidente ou os motios, est muito su&eita a erros e pode causar uma iso inflamada do incidente.
*3+ 9ra%alhe com profissionais da lei para assegurar que a eidncia protegida. Se prossecuo for
enolida, assegurar que a eidncia coletada no diulgada " imprensa.
*=+ 9ente no ser forado a uma entreista de imprensa antes de oc estar preparado. A imprensa
popular famosa pela 2entreista das 0 das manh2, onde a esperana pegar o entreistado
despreenido e o%ter informao no disponel em outras circunstAncias.
*?+ No permita que a ateno de imprensa diminua o tratamento do eento. Sempre se lem%re que o
fechamento com sucesso de um incidente de importAncia fundamental.
:.$ Identi"icando um Incidente
:.$.1 F 1eal ?
8sta fase enole determinar se um pro%lema realmente e!iste. Naturalmente muitos, se no a maioria,
dos sinais associados freqOentemente com infeo de rus, intruses de sistema, usurios maliciosos,
etc., simplesmente so anomalias tal como falhas de hard5are ou comportamento de suspeito de
sistemaLusurio. 'ara a&udar a identificar se realmente h um incidente, normalmente Dtil o%ter e usar
qualquer soft5are de deteco que possa estar disponel. Hnformao de auditoria tam%m
e!tremamente Dtil, especialmente para determinar se h um ataque a rede. : e!tremamente importante
o%ter um retrato instantAneo do sistema assim que se suspeite que algo est errado. Kuitos incidentes
leam uma cadeia dinAmica de eentos a acontecer, e um retrato instantAneo do sistema inicial pode ser a
mais aliosa ferramenta para identificar o pro%lema e qualquer fonte de ataque. Ginalmente, importante
comear um liro de log. <raar eentos de sistemas , conersas de telefone, timestamps, etc., pode
condu#ir a uma identificao mais rpida e sistemtica do pro%lema, e a %ase para fases su%seqOentes de
tratamento de incidente.
4 certas indicaes ou 2 sintomas 2 de um incidente que merecem ateno especial,
*-+ Crashes de sistemas.
*0+ Noas contas de usurio *a conta 16K';8S9H;9SQHN foi criada inesperadamente+, ou atiidade
alta em uma conta preiamente pouco usada.
*3+ arquios noos *normalmente com nomes de arquio estranhos, como data.!! ou I ou .!!+.
0E
*=+ discrepAncia de conta%ilidade *em um sistema de 6NHY pode oc notar a diminuio de um
arquio de conta%ilidade chamado LusrLadminLlastlog, algo que o deeria muito desconfiado de que
pode haer um intruso+.
*?+ mudanas em tamanho ou data de arquio *um usurio deeria desconfiar se .arquios 8Y8 em
um computador KS$>)S tenha ine!plicaelmente aumentado mais de -CUU %7tes+.
*@+ 9entatias de escreer em s7stem *um gerente de sistema nota que um usurio priilegiado em um
sistema de _KS est tentando alterar 1H<49S;HS9.>A9+.
*B+ modificao de dados ou apagamento *arquios comeam a desaparecer+.
*C+ negao de serio *gerente de sistema e todos os outros usurios so impedidos de entrar num
sistema de 6NHY, agora em modo de usurio Dnico+.
*E+ desempenho de sistema ine!plicaelmente, %ai!o
*-U+ anomalias *<)9.4A 2 e!i%ido no monitor ou h freqOentes e ine!pliceis 2%eeps 2+.
*--+ sondas suspeitas *h numerosas tentatias de login sem sucesso de outro nodo+.
*-0+ Pro5sing suspeito *algum se torna um usurio root em um sistema 6NHY e acessa arquios
arquio ap/s arquio em contas de muitos usurio.+
*-3+ ina%ilidade de um usurio para se logar deido a modificaes em sua conta.
>e forma alguma esta lista completaF n/s listamos apenas um certo nDmero de indicadores comuns. :
melhor cola%orar com outro pessoal tcnico e de segurana de computador para tomar uma deciso como
um grupo so%re se um incidente est acontecendo.
:.$.2 Bipos e 8scopo de Incidentes
ùnto com a identificao do incidente, est a aaliao do Am%ito e impacto do pro%lema. : importante
identificar os limites do incidente corretamente para lidar efetiamente com ele e priori#ar respostas.
'ara identificar o escopo e impacto um con&unto de critrios deeria ser definido, o qual apropriado para
o site e para o tipo de cone!es disponeis. Alguns dos pontos incluem,
*-+ este um incidente multi$siteJ
*0+ muitos computadores em seu site oram afetados p(r este incidenteJ
*3+ h informao delicada enolidaJ
*=+ qual o ponto de entrada do incidente *rede, linha telef(nica , terminal local, etc.+J
*?+ a imprensa est enolidaJ
*@+ qual o dano potencial do incidenteJ
*B+ qual o tempo calculado para encerrar o incidenteJ
*C+ que recursos poderiam ser e!igidos para tratar o incidenteJ
*E+ h autoridades legais enolidasJ
:.$.$ +&aliando !ano e 8*tenso
A anlise do dano e e!tenso do incidente pode consumir muito tempo, mas deeria condu#ir a alguma
idia so%re a nature#a do incidente, e a&udar na inestigao e prossecuo. Assim que a %recha tenha
acontecido, o sistema inteiro e todos seus componentes deeriam ser considerado suspeitos. Soft5are de
sistema o alo mais proel. 'reparao chae para poder desco%rir todas as mudanas num sistema
possielmente afetado. Hsto inclui fa#er checIsum de todas os meios do endedor usando um algoritmo
que resistente a falsificaes. *_e&a sees =.3+
Assumindo que meios de distri%uio originais do endedor esto disponeis, uma anlise de todos os
arquios de sistemas deeria comear, e qualquer irregularidade deeria ser notada e deeria referida a
todas as partes enolidas no tratamento do incidente. 'ode ser muito difcil, em alguns casos, decidir que
meios de %acIup esto mostrando um estado de sistema correto. .onsidere, p(r e!emplo que o incidente
pode ter continuado p(r meses ou anos antes de desco%erta, e o suspeito pode ser um empregado do site,
3U
ou que tenha conhecimento ntimo ou acesso aos sistemas. 8m todos os casos, a preparao antes do
incidente determinar se a recuperao possel.
Se o sistema suporta logs centrali#ados *a maioria o fa#+, olte para os logs e procure anormalidades. Se
conta%ilidade de processo e tempo de cone!o estier ha%ilitada, procure padres de uso do sistema.
Numa menor e!tenso, o uso do disco pode &ogar lu# no incidente. .onta%ilidade pode proer muita
informao Dtil em uma anlise de um incidente e prossecuo su%seqOente. Sua ha%ilidade para erificar
todos os aspectos de um incidente especfico depende fortemente do sucesso desta anlise.
:.0 Bratando um Incidente
So necessrios certos passos durante o tratamento de um incidente. 8m todas as atiidades de segurana
relacionadas, o mais importante ponto " ser feito que todos os sites deeriam ter polticas no local.
Sem polticas e metas definidas, as atiidades empreendidas permanecero sem enfoque. As metas
deeriam ser definidas com antecedncia pela administrao e com deli%erao legal.
6m dos o%&etios mais fundamentais resta%elecer controle dos sistemas afetados e limitar o impacto e
dano. No pior caso, fechando o sistema, ou desconectando o sistema da rede, possa ser a Dnica soluo
prtica.
.omo as atiidades enolidas so comple!as, tente adquirir tanta a&uda quanto necessrio. 8nquanto
tenta resoler o pro%lema so#inho, danos reais podem acontecer deido a demoras ou a informaes
perdidas. A maioria administradores leam a desco%erta de um intruso como um desafio pessoal.
'rocedendo deste modo, outros o%&etios como es%oou em suas polticas locais sempre podem no ser
consideradas. 9entar pegar os intrusos pode ser uma prioridade muito %ai!a, se comparada a integridade
do sistema, p(r e!emplo. Konitorar a atiidade de um hacIer Dtil, mas pode no sido considerado preo
o risco para permitir o acesso continuado.
:.0.1 Bipos de 2oti"icao e Broca de In"ormao
Nuando oc confirmou que um incidente est acontecendo, o pessoal apropriado dee ser notificado.
.omo esta notificao passada muito importante para manuteno do eento so% controle am%os
pontos de ista, o tcnico e o emocional. As circunstAncias deem ser descritas em tantos detalhes quanto
possel para facilitar o pronto reconhecimento e entender o pro%lema. Kuito cuidado quando determinar
para quais grupos tcnicos a informao ser eniada durante a notificao. '(r e!emplo, Dtil passar
este tipo de informao para um grupo de tratamento de incidentes pois eles podem lhe a&udar com
sugestes Dteis para erradicar as ulnera%ilidades enolidas em um incidente. '(r outro lado, pondo o
conhecimento crtico no domnio pD%lico *p(r e!emplo, p(r ne5sgroups de 6S8N89 ou remetendo para
listas+ pode p(r um nDmero grande de sistemas potencialmente a risco de intruso. : nulo assumir que
todos os administradores que lem um ne5sgroup particular tm acesso ao c/digo fonte do sistema
operacional, ou podem entender o %astante para fa#er os passos adequados.
8m primeiro lugar, qualquer notificao para local ou pessoal de fora do site dee ser e!plcito. Hsto
requer que qualquer declarao *se&a isto uma mensagem de correio eletr(nico, telefonema, fac$smile,
%eeper, ou semaphone+ proendo informao so%re o incidente se&a clara, concisa, e completamente
qualificada. Nuando oc est notificando outros que o a&udaro a tratar um eento, uma 2tela de fumaa2
s/ diidir o esforo e criar confuso. Se uma diiso de tra%alho sugerida, Dtil proer informaes
para cada participante so%re o que est sendo reali#ado em outros esforos. Hsto no s/ redu#ir
duplicao de esforos, mas permite que as pessoas que tra%alham em partes do pro%lema possam sa%er
onde o%ter informaes pertinentes a parte deles no incidente.
)utra considerao importante quando comunicar so%re o incidente ser efetio. 9entar esconder
aspectos do incidente proendo falsa ou incompleta informao no s/ podem eitar uma soluo com
sucesso para o incidente, mas pode at mesmo piorar a situao.
3-
A escolha do idioma usado quando notificar as pessoas so%re o incidente pode ter um efeito profundo no
modo que informao rece%ida. Nuando oc usa termos emocionais ou inflamat/rios, oc elea o
potencial para dano e resultados negatios do incidente. : importante permanecer tranqOilo am%os as
comunicaes escrita e falada.
)utra considerao que nem todas as pessoas falam o mesmo idioma.
>eido a este fato, podem surgir enganos e demora, especialmente se um incidente multinacional. 8m
outras preocupaes internacionais inclua a diferena nas implicaes legais de um incidente de
segurana e diferenas culturais. 'orm, diferenas culturais no s/ e!istem entre pases. 8las igualmente
e!istem dentro de pases, entre diferente grupos sociais ou de usurios. '(r e!emplo, administrador de um
sistema uniersitrio muito rela!ado so%re tentatias para conectar o sistema p(r telnet, mas proel
que o administrador de um sistema militar considere a mesma ao como um possel ataque.
)utro assunto associado com a escolha de idioma a notificao de pessoas no tcnicas ou de fora do
site. : importante descreer o incidente com preciso sem gerar alarme impr/prio ou confuso. 8nquanto
mais difcil de descreer o incidente a uma con&unto de pessoas no$tcnicas, freqOentemente mais
importante. 6ma descrio no$tcnica pode ser requerida pela administrao de neis superiores, a
imprensa, ou instituies responseis pela e!ecuo de lei. A importAncia destas comunicaes no pode
ser menospre#ada e pode fa#er a diferena entre a soluo do incidente corretamente ou elea$lo a algum
nel mais alto de dano.
Se um grupo de resposta a incidentes enolido, poderia ser necessrio preencher um modelo para a
troca de informao. 8m%ora isto possa parecer ser um fardo adicional e possa somar uma certa demora,
isto, a&uda o grupo para agir neste mnimo con&unto de informao. ) grupo de resposta poder responder
a aspectos do incidente do qual o administrador local desaisado. Se a informao dada para uma
pessoa de fora ento, esta pessoa deeria ter um mnimo de informao contando o seguinte,
-. time#one de logs,... em <K9 ou hora local
0. informao so%re o sistema remoto, inclusie nomes de host, endereos H' e *tale#+ H>s de
usurios
3. todas as entradas de log releantes para o local distante
=. tipo de incidente *o que aconteceu, p(r que se oc deeria se preocupar+
Se informaes locais *i.e., H>s de usurios locais+ so includas nas entradas de logs, ser anteriormente
necessrio a ZZsaniti#eZZ as entradas para eitar assuntos de isolamento. 8m geral, toda a informao que
poderia a&udar um local distante solucionando um incidente deeria ser distri%udas, a menos que polticas
locais pro%em isto.
:.0.2 Protegendo as 8&idEncias e <ogs de +ti&idade
Nuando oc responde a um incidente, documente todos os detalhes relacionados ao incidente. Hsto
proer aliosa informao para oc e outros como oc tentando desendar o curso dos eentos.
>ocumentando todos os detalhes economi#aro em Dltima instAncia, seu tempo. Se oc no documenta
todos os telefonemas importantes, p(r e!emplo, proel que oc esquea uma poro significante de
informao oc o%tm o que requer que oc contacte a fonte de informao noamente. Ao mesmo
tempo, detalhes arma#enados proero eidncias para esforos de prossecuo e proero os
moimentos naquela direo. A documentao de um incidente tam%m lhe a&udaro a e!ecutar uma ta!a
final de dano *algum da administrao, como tam%m instituies de e!ecuo de lei, podero querer
sa%er+, e proer a %ase para mais recentes fases do processo de tratamento de incidentes,
erradicao, recuperao, e seqOncia, 2lies aprendidas2.
>urante as fases iniciais de um incidente, freqOentemente impreisel determinar se a prossecuo
iel, assim oc deeria documentar como se oc pois est &untando eidncias para um caso de
tri%unal. 6m mnimo, oc deer registrar,
todos os eentos de sistemas *registros de auditoria+
todas as aes que oc fe# *tempo usado+
30
todas as conersaes e!ternas *inclusie a pessoa com quem oc falou, a data e tempo, e o
conteDdo da conersao+
) modo mais direto para manter documentao mantendo um liro de log. Hsto lhe permite ter uma
centrali#ada e cronol/gica fonte de informao quando oc precisar disto, em e# do requerer, chame
p(r folhas indiiduais de papel. Kuitas destas informaes so eidncias potenciais em um tri%unal de
lei. Assim, quando um procedimento legal uma possi%ilidade, a pessoa deeria seguir os procedimentos
preparados e eitar p(r em perigo o procedimento legal p(r manipulao impr/pria de possel eidncia.
Se apropriado, os passos seguintes podem ser leados.
-. regularmente *p(r e!emplo, diariamente+ fa#er c/pias assinadas de seu log%ooI *como tam%m mdias
que oc usa para registrar eentos de sistemas+ para um administrador de documentos.
0. administrador deeria arma#enar estas pginas copiadas em um seguro lugar *p(r e!emplo, uma cai!a
forte+.
3. quando oc su%mete informao para arma#enamento, oc dee rece%a um reci%o datado e assinado
pelo administrador do documento.
Gracasso para o%serar estes procedimentos pode resultar em inalidao de qualquer eidncia que oc
o%tm em um tri%unal de lei.
:.0.$ 1eteno
) prop/sito de reteno limitar a e!tenso de um ataque. 6ma parte essencial de reteno deciso do
que fa#er *p(r e!emplo, determinando desligar um sistema, desconectar da rede, monitorar sistemas ou
atiidades de rede, set traps, incapacitar funes como transferncia de arquio remotoss, etc.+.
Vs e#es esta deciso triialF desligar o sistema se a informao secreta, importante, ou proprietria.
9enha em mente que isso remoe todo o acesso enquanto um incidente est em progresso, o%iamente
notifique todos os usurios, inclusie os usurios que alegaram pro%lemas, que os administradores esto
atentos ao pro%lemaF isto pode ter um efeito danoso uma inestigao. 8m alguns casos, prudente
remoer todo o acesso ou funcionalidade o mais cedo possel, ento resta%elea operao normal em
fases limitadas. 8m outros casos, ale a pena arriscar algum dano para o sistema, se manter o sistema
poderiam ha%ilitar oc " identificar o intruso.
8sta fase deeria se desenoler leando a ca%o procedimentos predeterminados.
Sua organi#ao ou site deem, p(r e!emplo, definir riscos aceitel lidando com um incidente, e deeria
prescreer aes especficas e estratgias adequadas. Hsto especialmente importante quando uma deciso
rpida necessria e no possel contactar todas as partes enolidas primeiro para discutir a deciso.
Na ausncia de procedimentos predefinidos, a pessoa no cargo do incidente no ter freqOentemente o
poder para tomar decises de administrao difceis *como perder os resultados de uma e!perincia cara
desligando um sistema+. 6ma atiidade final que deeria acontecer durante esta fase de tratamento do
incidente a notificao de autoridades apropriadas.
:.0.0 8rradicao
6ma e# que o incidente foi contido, tempo para erradicar a causa. Kas antes de erradicar a causa,
deeria ser tomado grande cuidado colecionar todas as informaes necessrias so%re os sistemas
comprometidos e a causa do incidente como elas sero proaelmente sero perdidas quando o sistema
for limpo.
Soft5ares podem estar disponeis para a&udar no processo de erradicao, como soft5are de anti$rus.
Se qualquer falso arquios foram criados, deem ser apagados. No caso de infees de rus, importante
limpar e reformatar qualquer mdia que contm arquios infetados. Ginalmente, assegura que todos os
%acIups esto limpos. Kuitos sistemas infetados com rus ficam periodicamente r$infetados
33
simplesmente porque as pessoas no erradicam o rus do %acIup. >epois de erradicao, deeria ser
feito um noo %acIup.
1emoendo todas as ulnera%ilidades uma e# um incidente aconteceu difcil. A chae para remoer
ulnera%ilidades conhecimento e entendimento da %recha.
'ode ser necessrio oltar para as mdia de distri%uio originais e r$customi#ar o sistema. 'ara facilitar
esta situao de pior caso, um registro do setup do sistema original e de cada mudana de customi#ao
deeria ser mantido. No caso de um ataque %aseado na rede, importante instalar remendos para cada
ulnera%ilidade de sistema operacional que foi e!plorado.
.omo discutido na seo ?.=.0, um log de segurana pode ser muito alioso durante esta fase de remoer
ulnera%ilidade. )s logs que mostram como o incidente foi desco%erto e foi contido pode ser usado para
a&udar depois a determinar qual a e!tenso do dano de um determinado incidente. ) passos podem ser
usados no futuro para ter certe#a que o pro%lema no ir ocorrer. Hdealmente, a pessoa deeria
automati#ar e regularmente deeria aplicar o mesmo teste como foi usado para desco%rir o incidente de
segurana.
Se uma ulnera%ilidade particular isolada como e!plorada, o pr/!imo passo achar um mecanismo para
proteger seu sistema. A segurana que remete listas e %oletins seria um lugar %om para procurar esta
informao, e oc pode o%ter conselhos dos grupos de resposta a incidentes.
:.0.: 1ecuperao
6ma e# que a causa de um incidente foi erradicada, a fase de recuperao define a pr/!ima fase de ao.
A meta de recuperao retornar o sistema ao normal. 8m geral, e!pondo serios na ordem de demanda
e com um mnimo de inconenincia aos usurio a melhor prtica. 8ntenda que os procedimentos de
recuperao formais para o sistema e!tremamente importante e deeria ser especfico para o site.
:.0.= Prosseguimento
6ma e# que oc acredita que o sistema foi resta%elecido a um 2 estado seguro 2, ainda possel que
%uracos, e at mesmo armadilhas, podem estar espreitando o sistema. 6ma das fases mais importantes de
respostas a incidentes tam%m freqOentemente omitida, a fase de seguimento. Na fase de seguimento, o
sistema deeria ser monitorado com istas " aspectos que podem ter sido perdidos durante a fase de
cleanup. Seria prudente utili#ar, como um comeo, algumas das ferramentas de gerenciamento.
;em%re$se, estas ferramentas no su%stituem uma monitorao continuada do sistema e %oas prticas de
administrao de sistemas.
) elemento mais importante da fase de seguimento e!ecutar uma anlise de p/s morte. 8!atamente o
que aconteceu, e quanto tempoJ .omo foi a performance do pessoal enolido com o incidenteJ Nue tipo
de informao foi necessria rapidamente para o pessoal, e como eles adquirir aquela informao o mais
cedo posselJ ) que faria o pessoal diferentemente da pr/!ima e#J
Ap/s um incidente, prudente escreer um relat/rio que descree a sucesso e!ata de eentos, o mtodo
de desco%erta, procedimento de correo, procedimento de monitorao, e um resumo da lio aprendida.
Hsto a&udar na compreenso clara do pro%lema. .riando uma cronologia formal de eentos *inclusie
time stamps+ tam%m importante p(r ra#es legais.
6m relat/rio de seguimento alioso p(r muitas ra#es. 'ro uma referncias a serem usadas no caso de
outros incidentes semelhantes. 9am%m importante para que, to depressa quanto possel o%tenha$se
uma estimatia da quantia monetria dos danos que o incidente causou. 8sta estimatia dee incluir
custos associados com qualquer perda de soft5are e arquios*especialmente o alor de dados proprietrio
que podem ter sido desco%erto+, dano de hard5are, e fora de tra%alho usada para resta%elecer arquios
alterados, reconfigure sistemas afetados, e assim sucessiamente. 8sta estimatia pode se tornar a %ase
3=
para atiidade de prossecuo su%seqOente. ) relat/rio tam%m pode a&udar &ustifique o esforo de
segurana dos computadores de uma organi#ao para administrao.
:.: 1esultado de um Incidente
Ap/s um incidente, deeriam acontecer rias aes. 8stas aes podem ser resumidas nas seguintes,
-. um inentrio deeria ser feito dos recursos dos sistemas,*i.e., um e!ame cuidadoso deeria
determinar como o sistema foi afetado pelo incidente+.
0. as lies aprendidas como resultado do incidente deeria ser includo em plano de segurana
reisado para impedir o incidente de re$acontecer.
3. uma anlise de risco noa deeria ser desenolida leando em conta o incidente.
=. uma inestigao e prossecuo dos indiduos que causaram o incidente deeria comear, se
&ulgado dese&el.
Se um incidente est %aseado em poltica po%re, e a menos que a poltica se&a mudada, oc ento
sentenciado repetir o passado. 6ma e# que um site se recuperou de um incidente deeriam ser reisadas
a poltica do site e os procedimentos para cercar mudanas para preenir incidentes semelhantes. At
mesmo sem um incidente, seria prudente reisar polticas e procedimentos com uma %ase regular.
1eises so imperatias deido aos am%ientes de computao arieis de ho&e.
) prop/sito inteiro deste processo de p/s morte melhorar toda a segurana para proteger o site contra
ataques futuros. .omo resultado de um incidente, um site ou organi#ao ganhar conhecimento prtico da
e!perincia. 6ma meta concreta do p/s morte desenoler noos mtodos de proactie. )utra faceta
importante do resultado pode ser a educao do usurio final e administrador para preenir a noa
ocorrncia do pro%lema de segurana.
:.= 1esponsa(ilidades
:.=.1 2o cru'ando a <in5a
6ma coisa proteger a sua pr/pria rede, mas outra assumir que dee proteger outras redes. >urante o
tratamento de um incidente, certas ulnera%ilidade dos pr/prios sistemas e os sistemas de outros ficam
aparentes. : %astante fcil e pode ser tentador rastrear os intrusos para locali#$los. 9enha em mente que
em certo momento possel cru#ar a linha e, com a melhor das intenes, comportar$se no melhor do
que o intruso.
A melhor regra a seguir no usar facilidades de sistemas remotos que no se&am pD%licas. Hsto
claramente e!clui qualquer entrada em um sistema *usando um shell ou login remoto+ que no se&a
e!plicitamente permitido. Hsto pode ser muito tentador depois que uma %recha de segurana desco%ertaF
um administrador de sistema pode ter os meios para, aeriguar que danos podem ter sido feitos ao site
remoto. No faa[ Ao ins, tente %uscar o contato apropriado para o site afetado.
?.@.0 'oltica de %oa i#inhana na Hnternet
>urante um incidente de segurana h duas escolhas que a pessoa pode fa#er. 'rimeiro, um site pode
escolher o%serar o intruso na e!pectatia de pegaUloF ou, o site pode limpar o sistema depois do
incidente e manter o intruso fora dos sistemas. 8sta uma deciso que dee ser tomada com muito
cuidado, pois poder haer conseqOncias legais se oc optar p(r dei!ar seu site a%erto sa%endo que um
intruso est usando$o como um ponto de lanamento para atacar outros sites. Sendo um 2%om i#inho2 na
Hnternet oc deeria tentar alertar outros sites que podem ter sidos impactados pelo intruso. 8stes locais
afetados podem ser detectados ap/s uma reiso completa de seus arquios de log.
:.=.2 1esposta administrati&a para Incidentes
3?
Nuando um incidente de segurana enole um usurio, a poltica de segurana do site deeria descreer
que ao ser tomada. A transgresso dee ser leada a srio, mas muito importante estar seguro so%re o
papel do usurio. ) usurio era ingnuoJ 'oderia haer um engano atri%uindo a que%ra de segurana ao
usurioJ Aplicar alguma penalidade administratia assume que o usurio intencionalmente causou o
incidente e isto pode no ser apropriado para um usurio que simplesmente cometeu um engano. 'ode ser
apropriado preer sanes adequadas a cada situao em sua poltica *p(r e!emplo, educao ou
repreenso a um usurio+ alm para medidas mais duras para atos intencionais de intruso e a%uso do
sistema.
=. +ti&idades em andamento
Neste momento, seu site esperanosamente desenoleu uma poltica completa de segurana %em como
os procedimentos para assistir na configurao e gerenciamento da sua tecnologia no suporte destas
polticas. .omo seria %om se oc pudesse sentar e rela!ar neste momento & que oc concluiu com o
tra%alho de segurana. Hnfeli#mente isto no possel. )s seus sistemas e redes no so um am%iente
esttico, ento oc ter que reer suas polticas e procedimentos nos seus fundamentos. 4 um nDmero
de passos que oc pode seguir para a&uda$lo a manter as mudanas so% controle de forma a poder tomar
as aes correspondentes. A seguir apresentado um con&unto inicial de passos ao qual oc pode
adicionar outros de forma a a&ust$lo ao seu site.
*-+ Assine as pu%licaes que so editadas p(r rios times de resposta a incidentes de segurana,
como os .entros de .oordenao .819, e atuali#e os seus sistemas contra as ameaas que se
aplicam " tecnologia do seu site.
*0+ Kantenha$se atuali#ado so%re os patches produ#idos plos endedores do seu equipamento e
o%tenha e instale os que se aplicam ao seu sistema.
*3+ Kantenha so% igilAncia as configuraes do seu sistema para identificar qualquer mudana que
possa ter ocorrido e inestigar anomalias.
*=+ 1eise todas as polticas de segurana e procedimentos anualmente *no mnimo+.
*?+ ;eia os mailing lists releantes e 6S8N89 ne5sgroups para manter$se atuali#ado das Dltimas
informaes compartilhadas plos colegas de classe.
*@+ _erifique regularmente p(r polticas e procedimentos complacentes. 8sta auditoria dee ser feita
preferencialmente p(r algum que no tenha participado da definio ou implementao destas
polticas ou procedimentos.
3@

Politicas Seguranca

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Politicas Seguranca

Hochgeladen von

Copyright:

Verfügbare Formate

www.projetoderedes.kit.

Das könnte Ihnen auch gefallen