Seg adm-chklist
- 1. Pr´aticas de Seguranc¸a para Administradores de Redes Internet Checklist NIC BR Security Office nbso@nic.br Vers˜ao 1.2 16 de maio de 2003 Copyright c 2002, 2003 NBSO Este checklist resume as principais recomendac¸˜oes contidas no documento intitulado “Pr´aticas de Seguranc¸a para Ad- ministradores de Redes Internet”, um guia com informac¸˜oes para configurar, administrar e operar redes ligadas `a Internet de forma mais segura. O documento original pode ser obtido em http://www.nbso.nic.br/docs/seg-adm-redes/. Para informac¸˜oes sobre copyright e distribuic¸˜ao, veja o documento original. 1 Pol´ıticas Ë elaborac¸˜ao de uma pol´ıtica de seguranc¸a, com apoio da administrac¸˜ao da organizac¸˜ao; Ë divulgac¸˜ao da pol´ıtica de seguranc¸a entre os usu´arios da rede; Ë elaborac¸˜ao e divulgac¸˜ao de uma pol´ıtica de uso aceit´avel (AUP). 2 Instalac¸˜ao e Configurac¸˜ao Segura de Sistemas 1. Antes da instalac¸˜ao: Ë planejamento dos prop´ositos e servic¸os do sistema; Ë definic¸˜ao do particionamento do disco; Ë provis˜ao de m´ıdias e documentac¸˜ao necess´arias `a instalac¸˜ao. 2. Durante a instalac¸˜ao: Ë escolha de uma senha forte para o administrador; Ë instalac¸˜ao do m´ınimo de pacotes, com o sistema fora da rede; Ë documentac¸˜ao da instalac¸˜ao no logbook. 3. Ap´os a instalac¸˜ao: Ë desativac¸˜ao de servic¸os instalados e n˜ao utilizados; Ë instalac¸˜ao de correc¸˜oes de seguranc¸a; Ë configurac¸˜ao do servidor SMTP, fechando o relay;
- 2. Pr´aticas de Seguranc¸a para Administradores de Redes Internet – Checklist 2/4 Ë configurac¸˜ao do proxy Web, ajustando os controles de acesso. 4. Antes de conectar o sistema em rede: Ë verificac¸˜ao das portas TCP/UDP abertas, usando um comando como o netstat; Ë ajuste nas regras de firewall apropriadas, para liberar o tr´afego para o novo sistema. Alguns checklists mais espec´ıficos para determinados sistemas operacionais podem ser encontrados em http://www.sans.org/SCORE/. 3 Administrac¸˜ao e Operac¸˜ao Segura de Redes e Sistemas 1. Educac¸˜ao dos usu´arios: Ë divulgac¸˜ao de documentos de educac¸˜ao do usu´ario, sobre seguranc¸a de redes, como por exem- plo a “Cartilha de Seguranc¸a para a Internet”, dispon´ıvel em http://www.nbso.nic.br/docs/ cartilha/. 2. Ajuste do rel´ogio: Ë instalac¸˜ao e configurac¸˜ao de um servidor local de tempo (por exemplo, NTP); Ë sincronizac¸˜ao dos rel´ogios dos sistemas da rede com o rel´ogio do servidor local de tempo; Ë ajuste do timezone dos sistemas. 3. Equipes de administradores: Ë criac¸˜ao de listas de discuss˜ao para a comunicac¸˜ao entre os administradores de redes e sistemas da organizac¸˜ao; Ë estabelecimento de procedimentos e/ou instalac¸˜ao de ferramentas para controle de alterac¸˜oes na configurac¸˜ao dos sistemas; Ë estabelecimento de procedimentos e/ou instalac¸˜ao de ferramentas que permitam um controle sobre a utilizac¸˜ao de contas privilegiadas (root e Administrator). 4. Logs: Ë habilitac¸˜ao do logging em sistemas e servic¸os; Ë estabelecimento de um procedimento de armazenamento de logs; Ë instalac¸˜ao e configurac¸˜ao de um loghost centralizado; Ë estabelecimento de um procedimento de monitoramento de logs; Ë instalac¸˜ao de ferramentas de monitoramento automatizado e de sumarizac¸˜ao de logs. 5. DNS: Ë limitac¸˜ao de transferˆencias de zona nos servidores DNS mestres e escravos; Ë separac¸˜ao de servidores com autoridade e recursivos; Ë configurac¸˜ao do servidor DNS para execuc¸˜ao com privil´egios m´ınimos; Ë preservac¸˜ao de informac¸˜oes sens´ıveis (incluindo vers˜ao do servic¸o) registradas no DNS;
- 3. Pr´aticas de Seguranc¸a para Administradores de Redes Internet – Checklist 3/4 Ë configurac¸˜ao do DNS reverso para todos os hosts da rede. 6. Informac¸˜oes de contato: Ë implementac¸˜ao dos emails abuse e security; Ë atualizac¸˜ao do contato de SOA no DNS; Ë atualizac¸˜ao dos contatos (especialmente o t´ecnico) no WHOIS. 7. Eliminac¸˜ao de protocolos sem criptografia: Ë substituic¸˜ao de Telnet/FTP/rlogin/rsh/rexec por SSH; Ë substituic¸˜ao de POP3 e IMAP sem criptografia por soluc¸˜oes de email com criptografia (POP3 ou IMAP sobre SSL, Webmail sobre HTTPS). 8. Cuidados com redes reservadas: Ë filtragem dos enderec¸os pertencentes a redes reservadas e n˜ao alocadas; Ë configurac¸˜ao de tabelas de hosts e/ou servidores DNS privados quando s˜ao utilizados internamente enderec¸os de redes reservadas. 9. Pol´ıticas de backup e restaurac¸˜ao de sistemas: Ë definic¸˜ao da periodicidade dos backups; Ë definic¸˜ao dos dados que devem ser copiados; Ë escolha de um local adequado para o armazenamento dos backups; Ë estabelecimento de um procedimento de verificac¸˜ao de backups; Ë estabelecimento de um procedimento para a restaurac¸˜ao de sistemas a partir do backup. 10. Como manter-se informado: Ë inscric¸˜ao nas listas de an´uncios de seguranc¸a dos fornecedores de software e/ou hardware; Ë inscric¸˜ao nas listas de administradores e/ou usu´arios dos produtos usados na sua rede; Ë inscric¸˜ao na lista de alertas de seguranc¸a do CERT/CC. 11. Precauc¸˜oes contra engenharia social: Ë treinamento de usu´arios e administradores contra poss´ıveis tentativas de descoberta de informac¸˜oes sobre a rede da organizac¸˜ao; Ë busca e remoc¸˜ao de documentos que contenham tais informac¸˜oes e que estejam dispon´ıveis nos servidores de rede; Ë preservac¸˜ao de informac¸˜oes sens´ıveis ao solicitar aux´ılio em f´oruns p´ublicos na Internet.
- 4. Pr´aticas de Seguranc¸a para Administradores de Redes Internet – Checklist 4/4 12. Uso eficaz de firewalls: Ë escolha de um firewall que rode em um ambiente com o qual os administradores estejam acostuma- dos; Ë instalac¸˜ao de firewalls em pontos estrat´egicos da rede, incluindo, possivelmente, firewalls internos; Ë uso de uma DMZ para confinamento dos servidores p´ublicos; Ë implementac¸˜ao de ingress e egress filtering no per´ımetro da rede. 13. Redes wireless: Ë definic¸˜ao de uma pol´ıtica de Uso da Rede Wireless; Ë posicionamento cuidadoso dos APs visando minimizar o vazamento de sinal; Ë segregac¸˜ao da rede WLAN da rede interna da instituic¸˜ao; Ë uso de WEP; Ë uso de criptografia na aplicac¸˜ao (SSH, SSL, etc); Ë adoc¸˜ao de WAP e 802.11i, quando dispon´ıveis; Ë mudanc¸a da configurac¸˜ao default dos APs (senhas, SSID, SNMP communities, etc); Ë desligamento do broadcast de SSID; Ë protec¸˜ao dos clientes wireless (aplicac¸˜ao de patches, uso de firewall pessoal, antiv´ırus, etc.); Ë monitorac¸˜ao da rede wireless.