Práticas de Segurança Marita Maestrelli CBPF / MCT http://www.cbpf.br Workshop de Segurança em Informática dos Institutos do MCT Rio [email protected] Práticas de Segurança • • • • Introdução Políticas de Segurança Instalação e configuração segura de sistemas Administração e operação segura de Redes e Sistemas Workshop de Segurança em Informática dos Institutos do MCT Rio Introdução • NBSO – Nic BR Security Office Comitê Gestor • http://www.nbso.nic.br • [email protected] Workshop de Segurança em Informática dos Institutos do MCT Rio Políticas de Segurança • Elaboração apoiada pela direção • Ampla divulgação • AUP Workshop de Segurança em Informática dos Institutos do MCT Rio Instalação e Configuração Segura de Sistemas 1. Preparação da instalação • máquina desconectada da Rede • planejamento da instalação (serviços, particionamento discos) • evitar a concentração de serviços em um único servidor Workshop de Segurança em Informática dos Institutos do MCT Rio Instalação e Configuração Segura de Sistemas (cont.) 2. Estratégias de Particionamento 3. Documentar a instalação e a configuração 4. Senhas de administrador 5. Instalação mínima 6. Desativar serviços não utilizados 7. Instalação de correções Workshop de Segurança em Informática dos Institutos do MCT Rio Instalação e Configuração Segura de Sistemas (cont.) 8. Previnir abuso de recursos • Controle de Relay em servidores SMTP • Controle de acesso a Proxies Web Workshop de Segurança em Informática dos Institutos do MCT Rio Administração e Operação Segura de Redes e Sistemas 1. Ajuste do Relógio • Sincronização de Relógios • Timezone 2. Equipe de Administradores • Comunicação Eficiente • Controle de Alterações na Configuração • Uso de Contas Privilegiadas Workshop de Segurança em Informática dos Institutos do MCT Rio Administração e Operação Segura de Redes e Sistemas 3. Logs • Geração de Logs • Armazenamento de Logs • Monitoramento de Logs Workshop de Segurança em Informática dos Institutos do MCT Rio Administração e Operação Segura de Redes e Sistemas 4. DNS • Limitação de Transferências de Zona • Separação de Servidores • Uso de Privilégios Mínimos • Cuidado com Informações Sensíveis • DNS Reverso Workshop de Segurança em Informática dos Institutos do MCT Rio Administração e Operação Segura de Redes e Sistemas 5. Informações de Contato • Endereços Eletrônicos Padrão-RFC2142 • Contato no DNS • Contatos no WHOIS 6. Eliminação de Protocolos sem Criptografia 7. Cuidados com Redes Reservadas 8. Política de Backup e Restauração de Sistemas Workshop de Segurança em Informática dos Institutos do MCT Rio Administração e Operação Segura de Redes e Sistemas 9. Manter-se Informado 10. Precaver-se contra Engenharia Social 11. Uso Eficaz de Firewalls • A Escolha de um Firewall • Localização • Critérios de Filtragem Workshop de Segurança em Informática dos Institutos do MCT Rio Referências: 1. URLs • http://www.cert.org/security-improvement/skip.html • http://www.nbso.nic.br/docs/seg-adm-redes.html 2. Livros • Pratical UNIX and Internet Security,Grafinkel & Spafford – O´Reilly 1996 • Segurança Nacional, Nelson Murilo Rufino – Novatec 2001 • Building Internet Firewalls, Zwicky, Cooper & Chapman – O´Reilly 2000 Workshop de Segurança em Informática dos Institutos do MCT Rio Agradecimentos • • • • Amigos da CAT Comitê Organizador Palestrantes Participantes MCT Rio :))))))))))) Workshop de Segurança em Informática dos Institutos do MCT Rio Rumo a uma Rede com Usuários Satisfeitos e Administradores Campeões! Workshop de Segurança em Informática dos Institutos do MCT Rio