COLUNA TECHNET
Aproveitando o tema do Roadshow TechNet, Francisco Baddini escreve nossa segunda coluna TechNet, sobre segurança de rede.
Mantendo a segurança de sua rede
Por Francisco Baddini
Segurança é sem dúvida o principal assunto da atualidade em TI: com a presença cada vez maior da Internet no mundo dos negócios, é fundamental que seus servidores e estações de trabaho estejam seguras.
Mais do que manter seguros seus equipamentos, é fundamental aculturar seus usuários: de nada adiantará você investir nas mais novas soluções de segurança e seus usuários não entenderem a importância de sistemas seguros !
Imagine, por exemplo, se um usuário com permissão de acesso a VPN passar sua senha para alguns amigos. A sua rede toda estará a mercê de estranhos, não importando quantos firewalls, sistemas de detecção de intrusão e outros sistemas estejam implementados em sua rede !
Esta edição inclui os procedimentos recomendados mais importantes e alguns sites com conteúdo sobre segurança.
1) O objetivo é manter:
a) Confidencialidade: a capacidade de seus dados permanecerem confidenciais, ou seja, nenhuma pessoa indevida (inclusive dentro da empresa) ter acesso a documentos corporativos;
b) Integridade: a capacidade de seus documentos não serem alterados por pessoas indevidas;
c) Disponibilidade: a capacidade de seus sistemas funcionarem ininterruptamente mesmo que agentes externos tentem derrubá-lo;
d) Controle de acesso: a capacidade de controlar o acesso/tráfego aos recursos externos (Web) a partir dos usuários internos da empresa. Controlar também o acesso aos recursos internos por agentes externos (como usuários numa VPN ou mesmo intrusos
2) Preocupe-se em educar os usuários em relação a procedimentos de segurança como bloquear o sistema operacional ao deixarem a mesa de trabalho, não divulgarem suas senhas (já estive em empresas em que todos sabiam a senha de todos dentro de um departamento!!), utilizar senhas complexas, não passar documentos confidenciais para terceiros, manter atualizado o antivírus da estação de trabalho, manter Service Packs e patches atualizado (apesar desta preocupação ser tipicamente dos profissionais de TI da empresa, os usuários podem contribuir alertando o departamento de TI no caso de máquinas desatualizadas).
3) Tanto servidores como estações de trabalho devem ser mantidos atualizados. Para saber quais as atualizações necessárias, acesse o Windows Update. Atualize sempre seus sistemas com as atualizações críticas. No caso de atualizações recomendadas, analise uma a uma e verifique a necessidade de instalá-las em seu computador.
4) Uma boa dica para facilitar a instalação de atualizações está no uso da ferramenta Qchain. Maiores detalhes em
https://support.microsoft.com/default.aspx?scid=KB;EN-US;Q296861
5) Assine o security checklist e mantenha-se informado ativamente pela Microsoft de novas atualizações. Isso é muito importante pois geralmente os hackers atacam utilizando as últimas vulnerabilidades descobertas em cada sistema. Vírus como BugBear são a prova de que atualizações não são feitas por usuários. A atualização de segurança para este vírus foi disponibilizada a mais de 1 ano e o que vemos é muitos sistemas sendo infectados. Para assinar o security checklist:
https://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/notify.asp
6) Implemente senhas complexas usando as políticas de senha para os domínios (tanto NT, usando a DLL PASSFILT como no Windows 2000, via Group Policy). As senhas complexas são habilitadas a partir de um único checkbox e atuam implementando o seguinte requisito de senha para o domínio todo:
1. Pelo menos 6 caracteres;
2. Pelo menos 3 das 4 classes: letras maiúsculas, letras minúsculas, números e caracteres especiais (pontuação).
7) Mantenha os servidores configurados de acordo com o IIS 5.0 Security Checklist. Um dos passos importantes do checklist é a aplicação do template de segurança (sugestão=highsecweb), que configura automativamente várias políticas de segurança do servidor. O roteiro completo está na área de downloads de artigos sobre Windows 2000 . Existe ainda um checklist de segurança para o sistema operacional Windows 2000 que também deve ser implementado.
8) É altamente recomendável a utilização de um firewall para aumentar a proteção da rede onde se encontram os servidores e facilitar a detecção de invasôes. O Internet Security and Acceleration Server 2000 (https://www.microsoft.com/brasil/isaserver/) é um firewall de rápida instalação e configuração e ajuda significativamente na administração da segurança. Mais a frente, detalharei como o ISA Server trabalha.
9) Desabilite as contas de convidado (Guest) do domínio e exclua contas de usuários compartilhadas (ex. 3 usuários utilizando a mesma conta do domínio), pois em caso de auditoria ficará difícil encontrar o responsável por determinada conta.
10) Defina um tempo máximo de validade para a senha entre 20 e 30 dias, com tamanho mínimo de 6 caracteres, tempo mínimo da senha de 10 dias e histórico de pelo menos 6 senhas.
11) Habilite a auditoria em seu domínio, especialmente para os itens:
a) Logon/Logoff (falha)
b) File and Object Access (sucesso/falha) - após habilitar a auditoria para este item, você deve acessar as propriedades das pastas e arquivos que deseja auditar e habilitar a auditoria para o objeto.
c) Restart/Shutdown (sucesso/falha)
d) Security Policy Changes (sucesso/falha)
12) Atualize sempre seu ERD (Emergency Repair Disk) pois ele será fundamental em caso de falha em seu sistema operacional.
13) Atualize sempre seu anti-vírus e a lista de vírus do mesmo.
14) Nos servidores, utilize o bloqueio da estação e também inclua senha na proteção de tela (não utilize proteção de tela OpenGL, pois consome 100% de processador).
15) Para analisar possíveis vulnerabilidades de segurança, recomendo alguns softwares: Cerberus Internet Scanner (freeware), que pode ser conseguido em http://www.cerberus-infosec.co.uk/cis.shtml, ferramentas da FoundStone (http://www.foundstone.com/knowledge/free_tools.html), NBTDump e NetCat (http://www.atstake.com/research/tools/index.html).
15) Para analisar possíveis vulnerabilidades de segurança, recomendo alguns softwares: Cerberus Internet Scanner (freeware), que pode ser conseguido em http://www.cerberus-infosec.co.uk/cis.shtml, ferramentas da FoundStone (http://www.foundstone.com/knowledge/free_tools.html), NBTDump e NetCat (http://www.atstake.com/research/tools/index.html).
16) Nos EUA, existe um instituto chamado SANS (System Administration, Networking and Security) que, em conjunto com o FBI, dilvulgam frequentemente as maiores vulnerabilidades de segurança encontradas no mundo de TI. Existe um documento chamado "Top 20" que contém estas vulnerabilidades. O endereço é o http://www.sans.org/Top20\_Portuguese.php e é um site obrigatório para profissionais da área !
17) Como funcionam os recursos de firewall do ISA Server 2000 ?
O ISA Server possui uma arquitetura de políticas de acesso conforme a figura abaixo:
.gif "Dd569812.ImgColuna(pt-br,TechNet.10).gif")
Para o acesso aos recursos internos, a partir da Internet, temos a ação das seguintes regras/filtros:
1. Filtros de pacotes
2. Regras de publicação
3. Regras de roteamento
Para o acesso aos recursos externos (Internet) a partir da rede interna (usuários), temos a ação das seguintes seguintes regras/filtros:
1. Regras de protocolo
2. Regras de site e conteúdo
3. Filtro de pacotes
4. Regras de roteamento
Inicialmente (por padrão) existem filtro de pacotes habilitados para DNS e IGMP (ping). Todas as outras portas estão fechadas por padrão no ISA Server. Ao utilizar a solução de VPN, filtros são ativados para L2TP e/ou PPTP. Ao criar uma regra de publicação de servidores, não é necessário abrir a porta (80 por exemplo, para Http), pois a regra já define o redirecionamento para o servidor escolhido (lembre-se que como será usado o IP do ISA, não é necessário ocorrer tráfego da porta X internamente, por isso não é necessário a abertura da porta).
Além disso, também existe uma regra de site e conteúdo habilitando todos os sites e todo tipo de conteúdo para todos os usuários. Por outro lado, não existe nenhuma regra de protocolo criada, o que não permitirá o acesso a Internet pelos usuários. Deve ser criada portanto PELO MENOS uma regra de protocolo, com as portas/serviços necessários aos USUÁRIOS INTERNOS.OU SEJA: O acesso a web ocorre a partir da combinação de regras de protocolo com regras de sites/conteúdo.
Para a criação das regras, existem vários elementos, conforme detalho abaixo:
Schedules: período do dia. Usado, por exemplo, para limitar o acesso a determinados sites durante o horário comercial;
Prioridade de banda: define níveis de prioridade da banda existente. Usado para limitar uso da banda, por exemplo, para acesso a determinados sites ou tipos de arquivos.
Destination Sets: um ou mais hosts externos (ou na DMZ), pode ser criado, por exemplo, um DS chamado Sites Indevidos e alimentar este objeto com os sites indesejados;
Client Address Sets: um ou mais hosts internos (estações e servidores internos). Usado para limitar acesso por máquina.
Content Groups: grupos de conteúdo, baseado em extensões de arquivos, como MP3, ou EXEs; Dial-Up Entries: as conexões dial-up cadastradas no ISA, normalmente usada em regras de roteamento (se necessário rotear pacotes via uma linha discada).
Content Groups: grupos de conteúdo, baseado em extensões de arquivos, como MP3, ou EXEs;
Dial-Up Entries: as conexões dial-up cadastradas no ISA, normalmente usada em regras de roteamento (se necessário rotear pacotes via uma linha discada).
Além disso, para evitar ataques a portas normalmente abertas como DNS, HTTP e outras, existem filtros de aplicações e o sistema de detecção de instrusões, que atuam numa camada mais alta da pilha OSI, analisando o pacote não somente pela porta que é utilizada mas pelo conteúdo (dado) existente naquele pacote. Por exemplo, pode-se detectar pelo comportamento, uma intrusão DNS (overflow) ou então identificar um pacote SMTP que contém um arquivo anexado (de um email) com extensão VBS (que pode ser um vírus).
O ISA Server também é um servidor de cache, pode-se definir quanto de disco será usado pelo cache, e o nível de cache (atualização mais frequente ou mais demorada), além do cache ativo, a qual é analisado o header do objeto e o nível de atualização passa a ser definido conforme o número de acessos e frequência de alterações.
Para fins de monitoramento, o ISA conta com recursos de alertas (em caso de intrusão, falha de rede, serviços parados, etc.) e ainda com arquivos de logs (armazenados em ProgramFiles\MicrosoftISAServer\ISALogs). Recomenda-se sempre analisar os logs para descobrir sites que devem ser controlados. Também é possível analisar a performance e o comportamento de acesso a partir de relatórios em ambiente Web gerados pelo ISA Server. Basta acessar a pasta Reports e clicar duas vezes nos relatórios que você deseja analisar. Pode-se também salvá-lo em disco, no formato HTML.
O site http://www.isaserver.org é recomendado, lá encontra-se a comunidade ISA, com dicas, hotfixes, produtos de terceiros para complementar sua solução, livros, etc.
Grande abraço e até a próxima,
Engº. Francisco Baddini