quarta-feira, 24 de novembro de 2010

Exemplo de Política de Segurança para DNS e SSH

É muito importante e imprescindível a criação de uma Política de Segurança que atenda as necessidades da organização. Essa política vai estabelecer regras que devem ser obedecida por todos os usuários que estão envolvidos de forma direta ou indiretamente com o uso dos recursos da organização.

Com esta finalidade foi criado várias normas para nortear os interessados na criação de suas políticas. A grande dificuldade é saber por onde começar e qual seria a norma ideal para atender sua necessidade. Neste post irei mostrar uma política já implementada para os serviços DNS e SSH.

Segue abaixo três normas bem conhecidas:

RFC 2196

Esta norma é um guia para o desenvolvimento de políticas de segurança para computadores e procedimentos para quem possui algum sistema na Internet.

BS 7799

Esta norma trata assuntos sobre segurança da informação, foi desenvolvida na Inglaterra pela Britishi Standard. Homologada pela ISO (Internacional Standardization Organization) no ano de 2000 como ISO/IEC 17799.

ISSO/IEC 27001:2005

É um padrão de gestão de segurança de informação. Tem como objetivo ser usado junto com o ISO/IEC 17799.
Abaixo segue uma política de segurança adaptado para a empresa TECNEWS (fictícia) para os serviços DNS e SSH. Esta política teve como base a política implementada pela Universidade de São Paulo.

Norma para os Serviços de DNS

Introdução

Nesta norma estão definidas as diretrizes que devem ser observadas na utilização do DNS (Domain Name System) dentro da TECNEWS, principalmente no que se referem à sua implementação em servidores. Também são abordados alguns casos de utilização do DNS por parte dos usuários.

1. Objetivos

Esse documento tem como objetivo principal estabelecer diretrizes para uma boa utilização do DNS dentro da TECNEWS, tendo em vista a Política de Segurança vigente.

2. Abrangência

Em conformidade com a Política de Segurança, esta Norma tem abrangência em todo o backbone, sendo mandatória neste escopo.

3. Regras e Diretrizes Gerais

O DNS é um serviço coletivo e para que ele funcione a contento é necessário uma boa coordenação de todas as partes envolvidas.

Cabe aos Centros de Informática administrarem o domínio "tecnews.com.br" e seus subdomínios. Uma Unidade pode requerer o registro de um subdomínio e caso a Unidade deseje (e tenha competência para isso), pode passar a administrá-lo num servidor sob sua responsabilidade. Isso se chama delegação.

Não serão declarados equipamentos de outras redes nos servidores DNS da TECNEWS. Também não deverá haver registro de domínio "tecnews.com.br" em máquinas não pertencentes à TECNEWS.

A Resolução CCI 02 - "Normas para Registro de Sub-Domínios da TECNEWS" deve ser consultada. Para domínios não contidos nesta Resolução, a CCI deve ser consultada.

 3.1 Regras e Diretrizes Referentes ao Administrador

  3.1.1 Deveres

  •          Fornecer informações aos Usuários que permitam a configuração correta do DNS em seus computadores (quais servidores utilizar na resolução de nomes e que nome de domínio colocar).

  •         Manter o servidor de DNS configurado de forma correta e eficiente.

  •          Seguir recomendações dos Centros de Informática quanto à versão do servidor de DNS.

  •          Manter um "reverso" para todos os computadores pertencentes ao subdomínio sob sua responsabilidade.

  •          Comunicar ao Centro de Informática local as alterações que forem feitas na configuração das zonas (mudanças de IPs e nomes dos servidores DNS) dos subdomínios cuja responsabilidade lhe foi delegada.

  •          Manter o registro SOA corretamente configurado para o subdomínio, em relação aos parâmetros temporais e também ao endereço de e-mail para contato.

  •          Manter atualizados os Contatos Administrativo, Técnico e de Segurança pertinentes ao seu subdomínio, no sistema disponibilizado pelo CCE para essa finalidade (servidor WhoIs).

  •          Evitar a utilização de registros do tipo TXT ou HINFO, pois estes permitem que alguém obtenha de forma remota informações adicionais sobre os computadores da rede (fabricante do computador, sistema operacional instalado, etc.).

  •          Configurar seu servidor para limitar o número de computadores que tem permissão para fazer a leitura das zonas (transferência de zonas ou AXFR).

  •          Configurar seu servidor para que não seja possível fazer a leitura da versão instalada.

  •          Auxiliar a Unidade que deseje criar um subdomínio como proceder.

  •    Computadores que se utilizam de acesso remoto para se conectar a Universidade devem ter nomes que identifiquem claramente esse tipo de acesso, de preferência devem pertencer a um subdomínio reservado a essa finalidade. Isso facilita a criação de regras de bloqueio baseadas em nomes. Exemplos de nomes que podem ser utilizados: tty21.dialup.uspnet.usp.br, 54-45-107.143.dsl.ime.usp.br, etc.

 3.2 Regras para o Usuário

O Usuário deve configurar seu computador para que ele procure nomes em pelo menos dois servidores de DNS (primário e secundário).

Norma para os Serviços de SSH

Introdução

SSH ou Secure Shell é um conjunto de padrões e protocolos associados que permite estabelecer de forma remota um canal seguro, ou seja, criptografado, entre dois pontos de rede. Ele utiliza o sistema de chaves criptografadas públicas/privadas garantindo ainda maior segurança na hora da autenticação no login. 

A idéia do SSH é prover confidencialidade e integridade entre ambos os participantes do canal criado, permitindo assim maior segurança no acesso remoto ou na transferência de arquivos usando a ferramenta scp (linux). 

Este serviço permite que os usuários e administradores da TECNEWS possam ter maior segurança no seu acesso remoto ao console de sua máquina, em outras palavras, você estaria acessando a sua máquina como se estivesse na frente dela. 

O SSH é uma das formas mais seguras de acesso remoto e transferência de arquivos porque tudo é realizado de forma criptografada diferente de outros serviços similares como o TELNET e FTP.

1. Objetivos

Esta norma tem por objetivos:
  •          Fornecer os termos de utilização da ferramenta SSH;
  •          Estabelecer as responsabilidades dos administradores e usuários referentes ao uso do serviço.


2. Abrangência

Esta norma tem abrangência de toda a TECNEWS em Belém assim como suas filiais em Santarém e Marabá.

3. Considerações sobre o SSH

O SSH é uma ferramenta indispensável para qualquer rede que se preocupe com a segurança da informação e integridade dos seus dados, é indispensável à utilização desta ferramenta para todo e qualquer acesso ou transferência de arquivo de forma remota, deve-se sempre dar preferência ao seu uso em substituição aos tradicionais serviços TELNET e FTP.

Os seguintes programas podem ser utilizados de forma segura:

·         ssh ou putty.exe - semelhante ao TELNET, é usado para abrir sessão em computador remoto e executar comandos dentro do mesmo;
·         scp ou winscp.exe - utilitário para cópia remota de arquivos, do servidor para o cliente e vice-versa;
·         sftp ou winscp - realiza as mesmas tarefas que o FTP, com a diferença de ser criptografado.

4. Regras e Diretrizes para o usuário

Abaixo segue as regras que devem ser obedecidas pelos usuários que utilizaram o serviço SSH para garantir maior segurança e estabilidade do sistema:

  • Não divulgar nem emprestar sua senha
  • A senha é algo que você deve sempre lembrar e não deve ser escrita em papel e sim presente na sua mente; 
  • A senha é sensível ao maiúsculo e minúsculo, assim são senhas diferentes: tecnews, TECNEWS, Tecnews e TEcnews;
  • Nunca use o seu nome como senha, nomes de parentes, ou quaisquer outras coisas que estejam intrinsecamente ligadas a você (times de futebol, gostos pessoais, etc), pois examinando a sua vida é possível descobrir a sua senha;
  • A senha deve ser de difícil decodificação;
  • Jamais executar comandos que comprometam a segurança do sistema;
  • Não abandonar sessões abertas, lembre de fazer o logout;
  • Não fazer uso de programas que causem falhas no sistema operacional ou degradem sua desempenho;
  • Não tentar violar a segurança dos computadores ligados à rede (dentro e fora da TECNEWS);
  • Não tentar acesso não autorizado a computadores ou redes;
  • Não tentar violar arquivos pertencentes a outros usuários;
  • Recomenda-se que o usuário final não disponibilize serviço SSH em seus computadores pessoais, do contrário, fica ciente que deverá cumprir as regras impostas aos administradores de sistemas.

5. Regras e Diretrizes para o Administrador

É de total responsabilidade do administrador do serviço atentar de forma diligente para todas as regras abaixo descritas, é de suma importância o cumprimento delas:

  •         Sempre orientar e estimular os usuários a utilizarem o serviço SSH ao invés do TELNET, sempre que possível;
  •         Gerar as chaves dos usuários com senha;
  •         Implementar "chrooted sessions" para todos os usuários;
  •         Manter sempre o serviço SSH na sua ultima versão;
  •         Aplicar patches de segurança tanto no sistema como no serviço;
  •         Administrar o servidor SSH de modo a bloquear acessos a usuários e a grupos de usuários não autorizados;
  •         Não permitir a criação de arquivos ou habilitar comandos que possibilitem a execução remota de programas;
  •         Não permitir conexões remotas de usuários com permissões totais (root, supervisor ou administrador), sendo necessário todos os administradores depois de logados com os seus respectivos logins utilizar o comando su ou sudo para adquirir "poder" de root no sistema;
  •         Utilizar ferramentas e mecanismos que detectem ataques mais conhecidos contra SSH;
  •         Usar a opção de configuração do SSH "AllowUsers" para permitir apenas usuários autorizados;
  •         Não conceder acesso através de contas públicas (guest) ou sem senha;
  •         Não permitir acesso sem a utilização de chaves criptografadas;
  •         Monitorar os logs de acesso periodicamente verificando quais usuários estão acessando o servidor e, se porventura, estão executando comandos que normalmente não deveriam usar;
  •         Monitorar regularmente o sistema procurando arquivos que não possuem dono ou que não pertençam a nenhum grupo, que tenham permissão de escrita, alterando para somente leitura os que forem estranhos ou suspeitos;
  •         Manter os arquivos das áreas do administrador ou sistema invisíveis ou somente de leitura;
  •         Bloquear os serviços: netstat (tcp/15 - mostra informações sobre a conexão atual como endereços, dns, portas, etc), systat (tcp/11 - mostra os processos que estão sendo executados no servidor), finger (tcp/79 - apresenta informações completas de usuários como shells, diretórios, logins, etc);
  •         Consultar o Centro de Informática local em casos de dúvidas.


Este é um pequeno exemplo de uma política de segurança. Não importa de onde você pegar o modelo ou a norma, sempre adapte para a sua necessidade. A política sempre tem que ser refinada e aperfeiçoada para atender as necessidades da organização. Como boa prática a política tem que ser acessível para todos os usuários e de fácil entendimento. Sempre quando um novo funcionário for contratado apresente ao mesmo a política e faça que o mesmo assine um termo se responsabilizando por suas atividades na rede e uso dos recursos da organização.

by Osvaldo H Peixoto


Postado por às

Um comentário:

Assinar: Postar comentários (Atom)