Faculdade SENAC DF Pós-Graduação em Segurança da Informação. Autores RESUMO. Brasília-DF 2012 ABSTRACT. Ficha Catalográfica

Faculdade SENAC DF Pós-Graduação em Segurança da Informação Modelo de Aplicação de Técnicas, Regras e Serviços de Segurança de Rede voltado para Médias e Pequenas Empresas: Configuração Básica: Samba, Firewall, Sistema Operacional, Proxy Cache. Autores Diego Eustáquio Neves diego.neves8@gmail.com Edilberto Magalhães Silva edilms@yahoo.com Brasília-DF 2012 Trabalho de Conclusão de Curso apresentado a FACSENAC-DF Faculdade Senac do DF como requisito para a obtenção do título de Especialista em Segurança da Informação. RESUMO Garantir a integridade do usuário e a segurança da rede local da entidade é a proposta que será apresentada nesse projeto. O objetivo é a instalação e a configuração de uma rede de segurança utilizando servidor Linux para pequenas e médias empresas. O modelo instalado terá a criação de um domínio para a rede local, a criação de regras com a utilização do IPTABLES e o bloqueio de páginas web com o a utilização do Squid. O acesso à internet será delimitado por uso do Squid configurado de acordo com a PSI, para permitir a entrada e saída de pacotes em sua rede. O IPTABLES terá o objetivo de redirecionar as solicitações de acesso aos servidores email e servidoers web (portas 25 e 110). Serão mostradas as ferramentas e tecnologias usadas, sendo Softwares - Livres, descrevendo as vantagens de seu uso. Palavras-Chave: Softwares Livres; Servidor Linux; Sistema Operacional; Rede Local; Firewall, PSI, Iptables, Squid. ABSTRACT Ficha Catalográfica Neves, Diego Eustáquio. Modelo de Aplicação de Técnicas, Regras e Serviços de Segurança de Rede voltado para Médias e Pequenas Empresas: Configuração Básica: Samba, Firewall, Sistema Operacional, Proxy Cache. / Diego Eustáquio Neves Brasília : Faculdade Senac-DF, 2012. 39 f. : il. Orientador: Edilberto Magalhães Silva Trabalho de Conclusão de Curso (Especialização em Segurança da Informação), Faculdade Senac-DF, 2012. 1. Servidores. 2. Linux. Ensuring the integrity and security of the user's local network entity is a proposal that will be presented this project. The objective is the installation and configuration of a network security using Linux server for small and medium businesses. The model will be installed to create a domain for the local network, creating rules using the IPTABLES and blocking web pages with the use of Squid. Internet access will be delimited using the Squid configured according to PSI to allow incoming and outgoing packets on your network. The IPTABLES will aim to redirect requests access to email servers and web servers (ports 25 and 110). Will show the tools and technologies used, and Software - Free, describing the advantages of its use. Keywords: Software Free; Linux Serve; Operating System; LAN, Firewall, PSI, Iptables,Squid.

2 1 INTRODUÇÃO Com o avanço tecnológico e a facilidade de adquirir materiais e conhecimentos através da Internet, tornou-se preocupante e cada vez mais necessário uso da segurança da informação nas organizações. É possível blindar as informações, a tal maneira de não se preocupar com seus valiosos dados? Não existe nada que garanta a segurança total. O que se sabe é que existem maneiras que podem dificultar a quebra de sigilo e o acesso à informação. Considerando-se o texto acima, a facilidade em adquirir conhecimentos torna-se uma preocupação devido à competitividade no cenário atual, no qual pessoas de má índole utilizam tais recursos para o furto de informações. Não apenas a facilidade em aprimoramentos tecnológicos, mas até mesmo utilizando a Engenharia Social como busca de informações. Entretanto, não se deve deixar de mencionar os pontos positivos deste avanço tecnológico, os chamados Softwares Livres ou Opens Source, onde pequenas empresas que não tinham condições em investir em tecnologia como formas de segurança, passaram a ter condições em proteger seu patrimônio. No cenário tecnológico atual, veem-se empresas estatais, multinacionais e órgãos públicos adotando o uso desses softwares livres, ou será que grandes empresas usariam um software que não proporcionasse segurança? Neste trabalho, será mostrado e respondido tal questionamento, por meio de um projeto piloto desenvolvido como forma de restringir o acesso à Internet de acordo com o Plano de Segurança da Internet (PSI), e também o controle e a integridade que cada usuário terá na rede, pois somente o mesmo terá acesso a seus arquivos. Criar regras de serviços de segurança e criar serviços de domínio é o objetivo para atender as pequenas e médias empresas, com o intuito de proporcionar a segurança e a proteção dos dados. A proposta de realização é a instalação e configuração de um servidor Linux para aplicação de regras de acesso em estações de trabalho.

3 Segundo matéria da revista INFO: O aumento da quantidade e da complexidade de ataques virtuais na América Latina tem impulsionado o mercado de segurança da informação na região. Para Fernando Belfort, analista de mercado sênior da Frost & Sullivan 1, empresas globais estão considerando América Latina e principalmente o Brasil como prioridade para investimento em recursos locais, ações de marketing e comunicação corporativa. Segundo a consultoria, a região, com destaque para Brasil, Colômbia e Peru, apresentou crescimento de 16,6% em 2010, referente aos mercados de segurança de rede. A expectativa é de alto investimento por parte das empresas globais em suas operações na região principalmente no mercado brasileiro [15]. 2 TOPOLOGIAS DE REDE Visando auxiliar o projeto, foram realizadas pesquisas técnicas e conceitos sobre topologias para o enriquecimento e o amadurecimento das idéias discutidas. As teorias, ferramentas e sistema operacional apresentados nesta seção serão utilizados no desenvolvimento do projeto. 2.1 O que significa Topologia de Rede? Topologia de Rede é a maneira como os diferentes dispositivos são interligados. Estes dispositivos podem ser interconectados sob várias formas, tanto do ponto de vista físico quanto do ponto de vista lógico [12]. 2.2 Relação entre Topologias Físicas e Topologias Lógicas A Topologia Física é a configuração física ou diz respeito aos caminhos da interligação dos cabos, roteadores, switches, concentradores, enfim, componentes físicos de uma rede. A Topologia Lógica de uma rede é a configuração esquemática 1 Frost & Sullivan - Empresa Americana especializada em consultoria e pesquisas tecnologicas

4 que reflete o funcionamento da rede e como será a ligação entre os usuários dessa rede. A mesma topologia física pode ter uma topologia lógica diferente [1]. 2.3 Topologia em Estrela É nome de uma topologia de rede de computadores. Podem-se formar redes com topologia em estrela, interligando computadores através de switches ou qualquer outro concentrador. Diz-se que uma rede tem topologia estrela quando um computador se conecta a outro apenas através de um equipamento central, sem nenhuma ligação direta nem através de outro computador. Sua aplicação se dá em redes locais (LAN). Na arquitetura ou topologia em estrela, tudo converge para um nó central. Caso haja uma falha nesta ponte, toda a rede fica prejudicada, já que depende do ponto central. Esta topologia exige uma grande quantidade de cabos, materiais e infra-estrutura para disponibilizar todas as conexões desejadas. Neste tipo de topologia é mais fácil detectar falhas [16]. Figura 1 Modelo de uma rede usando a Topologia em Estrela [13]. 3 FIREWALL Um firewall é qualquer dispositivo projetado para impedir que estranhos acessem sua rede. Este dispositivo geralmente é um computador independente, um roteador ou um firewall em uma caixa (dispositivo de hardware proprietário). A unidade serve como único ponto de entrada para seu site e avalia cada solicitação

5 de conexão quando é recebida. Somente solicitações de conexão de hosts autorizados são processadas; as demais solicitações de conexão são descartadas. Os firewalls podem analisar pacotes recebidos de vários protocolos. Com base nessa análise, um firewall pode empreender várias ações. Os firewalls são, portanto, capazes de realizar avaliações condicionais. ( Se esse tipo de pacote for encontrado, fareis isso ) [4]. 3.1 Implementação Existem várias técnicas usadas na implementação de firewalls, dentre as quais pode-se citar: Filtragem de Pacotes: Mais simples, porém menos segura, a técnica permite ou não o acesso baseado no endereço origem/destino ou na porta origem/destino do protocolo de comunicação utilizado. Utiliza-se de uma relação de endereços confiáveis para permitir ou não o acesso. Por filtrar apenas os endereços, está sujeito a ataques de spoofing 2. Trabalha na terceira camada do modelo OSI 3 [17]. StateFul Packet Inspection (Inspeção de Estado de Pacote): Permite ou não o acesso, analisando não apenas as informações utilizadas na filtragem de pacotes, mas também o cabeçalho de cada pacote de informação que chega, verificando se pertence a uma conexão interna. Ou seja, se chegar ao firewall um pacote que não foi solicitado por algum terminal de dentro da área protegida, o pacote é bloqueado. Trabalha na quarta camada do modelo OSI [17]. Proxy Firewall: Nesse tipo de implementação, toda a comunicação é direcionada ao firewall. Esse, recebendo uma solicitação de pacote para ser enviada a rede externa, examina suas políticas de segurança. Se o pacote atendê-las, envia-o para o destino, mas, com o endereço 2 Spoofing - Técnica utilizada para ocultar a origem do e-mail. 3 Modelo Osi Modelo de Arquitetura para sistemas abertos visando permitir a comunicação entre máquinas heterogêneas e definindo diretivas genéricas para a construção de redes de computadores, independente da tecnologia de implementação.

6 IP do firewall, protegendo o verdadeiro endereço de origem da solicitação. Ao receber um pacote de respostas, seu conteúdo é examinado e, em seguida, verifica se o pacote pertence a uma solicitação interna. Em caso positivo, repassa-o ao solicitante. Trabalha na quinta camada do modelo OSI [17]. 3.2 Categorias Os sistemas de Firewall disponíveis comercialmente se diferenciam de duas maneiras: quanto ao seu conjunto de características e quanto à sua arquitetura básica. Quanto às características, os Firewalls geralmente são divididos em duas categorias: Firewall em Nível de Aplicação: Um firewall de aplicação não permite que nenhum pacote passe diretamente da rede externa para a rede coorporativa. Sendo assim, um computador fortemente protegido contra ataques, podendo ser parte de um firewall, sendo o único computador da rede que pode ser acessado diretamente pelo lado de fora do firewall, geralmente, está localizado no perímetro da rede entre a parte interna e protegida e a Internet, por exemplo. Primeiramente é verificado se um pedido de acesso realizado por um usuário a um site ou serviço disponível na internet é permitido validação de usuário e senha para acesso- por exemplo, de sites pornográficos. Todos os pacotes são enviados a um servidor de Proxy. O Proxy determina quando se deve ou não estabelecer a conexão e deve conhecer a aplicação e, se uma nova aplicação for necessária na rede, obtém-se com o fornecedor um novo código que a contemple. Se o acesso é autorizado, o firewall realiza o papel de intermediário, realizando a conexão com o site ou serviço na Internet conforme solicitado pelo usuário, repassando as páginas, imagens e outras informações provenientes da Internet [17]. Firewall em Nível de Rede: Um firewall de Rede atua ao nível de rede examinando as informações solicitadas pelos usuários da internet, servindo como intermediário entre a corporação e a Internet.

7 Dependendo de regras de filtragem embutidas em seu sistema operacional, ele decide se os deixa passar ou não para a rede local. Cada solicitação é examinada e, quando solicitações ilícitas são realizadas, essas são bloqueadas para que não sejam encaminhadas para a estrutura interna da organização, evitando danos aos dados existentes na estrutura, bem como a disponibilização de informações confidenciais à Internet [17]. 3.3 Arquitetura A seguir os principais conceitos de arquitetura de firewall, são eles: Dual-Homed Host: A arquitetura Dual-Homed host é montada sobre um computador com no mínimo duas interfaces de rede. Este computador age então como um roteador, entre as redes estão conectadas às suas placas de rede. É possível então usar este computador como um firewall. Assim, pacotes IP recebidos de uma rede (por exemplo, a Internet) não são retransmitidos diretamente para outra (por exemplo, a rede interna protegida). A arquitetura Dual-Homed host é apropriada em um firewall para um sistema com pequeno tráfego na internet [18]. Screened Host: Considerando que uma arquitetura Dual-Homed Host prove serviços para hosts ligados a várias redes, mas com serviço de roteamento desligado, a arquitetura Screened Host prove serviço somente para os hosts que estão ligados a rede interna, usando para isso um roteador separado. A arquitetura Screened Host é apropriada para um firewall num sistema com poucas conexões que chegam a Internet [18]. Screened Subnet ou DMZ: Adiciona uma camada extra de segurança a Screened Host. Essa rede perimetral é adicionada com o fim de proteger a rede interna da Internet. DMZ (Zona Desmilitarizada) é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet [18].

8 3.4 IPTABLES O IPTABLES é uma ferramenta de edição da tabela de filtragem de pacotes, ou seja, com ele você é capaz de analisar o cabeçalho e tomar decisões sobre os destinos destes pacotes. Dentre as vantagens do iptables, podemos citar a estabilidade, a rapidez e a eficiência. Sua configuração é feita através de scripts. Um detalhe muito importante: o iptables acompanha o kernel 4 2.4 do Linux, sendo que em um kernel anterior havia o ipchains 5. Sendo assim, ao instalar o Linux com o kernel 2.4 o serviço iptables estará ativo. As regras do Iptables são compostas de uma tabela, opção, chain, dados e ação. Por meio destes elementos podemos especificar o que fazer com os pacotes [5]. Existem vários programas de firewall no mercado. O iptables no caso é stateful, ou seja, ele mantém o controle de todas as conexões, substituiu o ipchains, que por sua vez é uma melhoria do ipfw 6 (que hoje tem uma versão melhorada usada no free bsd), usado nas diferentes versões do Linux existentes, que equipa vários firewalls/roteadores existentes no mercado, e interage diretamente no kernel do Linux. Além de ser livre como o free bsd, certamente é um dos melhores firewall do mercado [6]. 4 HLBR IPS O HLBR é um projeto brasileiro, criado em novembro de 2005, dreivado do Hogwash (desenvolvido por Jason Larsen em 1996). Este projeto é destinado à segurança em redes de computadores. O HLBR é um IPS (Intrunsion Prevention System) capaz de filtrar pacotes diretamente na camada 2 do modelo OSI (não necessita de endereço IP na máquina). A detecção de tráfego malicioso é baseada em regras simples (o próprio usuário poderá confeccionar novas regras). É bastante eficiente e versátil, podendo ser usado até mesmo como bridge. Como não usa a pilha TCP/IP do sistema operacional, ele é invisível a outras máquinas na rede. A partir da versão 1.0, lançada em 05 de março de 2006, o HLBR passou a utilizar 4 Kernel Núcleo do Sistema Operacional. 5 Ipchahins Filtro de Pacotes prestente no kernel do Linux a partir da versão 2.2 6 IPFW Firewall padrão do FREEBSD.

9 expressões regulares para detectar tentativas de intrusão, vírus, worms e phishing [22]. 5 NAT NAT: Network Address Translation, é um mecanismo que permite que o endereço de rede interna de uma empresa seja ocultado da Internet. A empresa é representada na Internet como um endereço de IP não relacionado com os endereços de IP internos. Utilizando um servidor proxy, todo o tráfego de dentro da empresa destinado à Internet é enviado para o servidor proxy. O proxy dá a cada pacote outro endereço de IP antes de transmiti-lo pela Internet. Quando o pacote de resposta chega, o servidor proxy o envia ao servidor apropriado da empresa que havia feito o pedido. Este procedimento protege os endereços verdadeiros da rede interna, dificultando o ataque de um hacker ao sistema, já que o endereço do sistema protegido não é conhecido e não fica diretamente acessível a partir da Internet [4]. Segue figura abaixo: Figura 2 Modelo exemplificando o funcionamento de NAT [14].

10 6 ROTEADORES Os roteadores armazenam e transmitem para outros roteadores, em outras redes, informações e diagramas sobre as camadas de rede. Internamente, usam protocolos específicos através dos quais obtém informações sobre a topologia da rede, calculam rotas para outras redes e constroem tabelas de roteamento. Existem duas atividades que são básicas para um roteador [18]. Determinação das melhores rotas: Determinar a melhor rota é definir por qual enlace uma determinada mensagem deve ser enviada para chegar ao seu destino de forma segura e eficiente. Para realizar essa função o roteador utiliza dois conceitos muito importantes: o conceito de métrica e o conceito de tabelas de roteamento [18]. Transporte dos pacotes: Transportar pacotes pela rede é uma função relativamente simples realizada pelos roteadores. Consiste em verificar o endereço de rede para onde a mensagem está destinada, determinar se o endereço é valido, traduzir para um novo endereço físico e enviar o pacote [18]. 6.1 Métrica Métrica é o padrão de medida usado pelos algoritmos de roteamento para determinar o melhor caminho para o percurso entre origem e o destino da informação [18]. 6.2 Roteamento Roteamento é a ação realizada por um roteador e consiste em encaminhar pacotes, baseado em seus destinos, para interfaces de rede ou outros roteadores. Todo computador conectado a uma rede, como a Internet, por exemplo, possui uma tabela de roteamento. Esta tabela consiste em uma lista de destinos com os seus respectivos caminhos, sendo consultada sempre que um dado vai ser enviado através da rede. Esses caminhos podem ser interfaces de rede ou endereços de outros roteadores [18].

11 7 PROXY CACHE É uma solução para otimização e controle do acesso e compartilhamento da conexão com a internet. Através do servidor proxy, as páginas da internet serão acessadas mais rapidamente por todas as máquinas da rede. Com o proxy, as páginas visitadas são armazenadas no servidor (em cache) ocasionando assim, mais rapidez aos sites requisitados no web browser. Isto ocorre porque o proxy faz a verificação se o mesmo já possui a página armazenada no servidor. Se existir, ele verifica na Internet se há alguma atualização da página requisitada, e caso na exista, ele envia ao usuário a página armazenada no servidor.com isso, atinge-se uma maior rapidez de acesso e um menor consumo do link conectado à internet. Dentre as vantagens de se usar um proxy, tem-se o controle do acesso dos usuários, uma vez que pode-se monitorar o acesso externo, gerando relatórios de páginas acessadas e bloqueando sites que possam conter vírus e outros riscos aos computadores por ele controlados [7]. O Squid é um proxy cache para Web com suporte a HTTP, FTP, entre outros. Ele reduz a largura da banda e melhora os tempos de resposta, fazendo cache e reutilização de páginas da web frequentemente solicitados. O Squid tem controles de amplos acessos em servidores. Ele é executado em sistemas operacionais como Windows, Linux e está licenciado pela GNU GPL. Pode-se definir black list como uma lista que inclui Spyboot, Malwares ou sites de conteúdos impróprios. Define-se também uma cadeia de palavras em que se possa bloquear nos casos (sexo, msn, facebook, etc.), ou seja, fica a critério do administrador de redes seguir sua Política de Segurança da Informação (P.S. I) [5]. É importante enfatizar que o Squid é apenas um servidor de Web proxy-cache. Ele não suporta outras funções de proxy, tais como NAT ou funções de firewall [4]. 8 SERVIDORES CONTROLADORES DE DOMÍNIOS O Servidor Controlador de Domínio é um serviço que se destina a centralizar todos os direitos de uma rede. A máquina então se autentica no controlador de domínio e são permitidas, ou não, na rede para aqueles usuários específicos [20].

12 O Samba é um Open Source que permite a interoperabilidade entre Linux e clientes baseados em Windows. Quando corretamente configurado, ele permite a interação de um host com um cliente ou servidor Windows ou até mesmo servidor de impressão. Para esse projeto, será utilizado o SAMBA para servidor de domínio na rede, no qual o usuário poderá logar dentro de um domínio criado [9]. O Samba oferece compativelmente junto com a Microsoft os seguintes serviços: Compartilhar um ou mais sistemas de arquivos; Compartilhar impressoras instaladas em ambos, no servidor ou no cliente; Auxilia a navegação dos clientes pela rede local; Autentica clientes no processo de logon do domínio no Microsoft Windows [3]. 9 DNS DNS Domain Name System ou Sistema de Nomes de Domínios. É uma base de dados hierárquica, distribuída para a resolução de nomes de domínios em endereços IP e vice-versa [22]. O BIND é um software de código aberto que implementa protocolos DNS para a Internet [21]. 10 DMZ Um dos meios utilizados para prover segurança a uma rede de computadores é a implementação da chamada DMZ (DeMilitarized Zone), cuja função é separar física e logicamente os serviços restritos de alta prioridade de outros com características de vulnerabilidade. Tipicamente, a separação entre uma LAN e a Internet. Nesse contexto, é imperioso que técnicas de proteção, contenção e filtragem de acessos externos à rede local sejam implementadas de forma eficaz, com o objetivo de manter a integridade e o acesso aos dados e serviços dessa rede em níveis seguros [7].

13 A DMZ é acessada tanto pela rede local quanto pela rede externa; mas a rede externa e a DMZ não tem acesso algum à rede interna; é usada para hospedar serviços necessários de acesso comum entre a interna e externa; controlada geralmente pelo firewall. Segue exemplo na figura abaixo: Figura 3 Exemplo de uma montagem da DMZ [7]. 11 MODELO PROPOSTO Estudar ativos e regras de segurança voltados para estações de trabalho em pequenas e médias empresas, englobando serviços Squid (regras de proxy), Firewall de Borda, IPS, Domínio na Rede Geral, para implantação de um ambiente de rede computacional de acordo com os recursos necessários disponibilizados pela empresa e ativos já existentes, descrito na proposta, conforme diagrama abaixo.

14 Diagrama de Aplicação do Modelo de Redes, Aplicação de Técnicas e Serviços de Segurança. Figura 4 Diagrama da Rede 11.1 Componentes para a Construção da Rede De acordo com o diagrama acima, segue abaixo os componentes para a construção da rede projetada: Modem ADSL (Usado para Internet)

15 Firewall de Borda (Equipamento Instalado junto ao Patch Panel) Servidor IPS (Intrusion Prevention System) Servidor de Internet (Proxy) Servidor Web (Webmail) Servidor de Email (DMZ) 02 Switches Estações de Trabalho. 11.2 Softwares Indicados Para a construção do Projeto de uma Rede Segura, será necessário obtenção de softwares e serviços. Segue abaixo: Sistema Operacional Linux Centos versão 6.3 Serviço Squid Serviço Samba Bind ITS (Scripts) MC IPtraff. 11.3 Requisitos de Hardware Conforme apresentado no diagrama, segue abaixo requisitos mínimos de hardware para a construção do projeto. São eles: Computadores Intel Dual Core, 2GB Memória RAM, HD de 250 GB. Computadores Intel Core i3, 4 GB Memória RAM, HD de 500 GB.

16 11.4 Vantagem do uso de Servidores com Sistema Operacional Linux Baixo Custo: Além de não pagar nenhum encargo de licença, muitas distribuições Linux podem ser baixadas, compiladas, usadas e compartilhadas com amigos e familiares, na escola ou no trabalho, sem pagar nada por isto. Exemplos: Ubuntu, Centos, Debian, Fedora [10]. Segurança: Para qualquer instalação no Linux, será solicitada uma autorização do usuário root, que é um tipo de usuário proprietário dos arquivos e processos ligados ao funcionamento do sistema. Dessa forma, dificilmente um vírus ou programa malicioso será instalado, a não ser que seja autorizado inserindo a senha root [10]. Variedade: Existem mais de 500 distribuições Linux, contando apenas as distribuições ativas, sendo que 98% delas são personalizações de outras distribuições já existentes. Como o Linux é livre, qualquer um pode modificar o código-fonte 7 de uma distribuição existente e criar sua própria distribuição [10]. 11.5 Desvantagem do uso de Servidores com Sistema Operacional Linux Incompatibilidade com drivers e softwares: Muitos equipamentos não funcionam corretamente no Linux por não encontrar o driver. Muitos equipamentos como modems, impressoras, webcams e outros não funcionam no Linux porque as empresas desenvolvedoras mantêm segredo sobre as especificações do produto [10]. Interface: A interface do Windows é mais intuitiva que a do Linux, isso dá mais conforto para o usuário final. As pessoas estão tão acostumadas com a interface do Windows que quando abrem o Linux e os itens não estão no mesmo lugar, logo querem voltar [10]. 7 Código-fonte é o conjunto de palavras escritas de forma ordenada, contendo instruções em uma das linguagens de programação de maneira lógica e após ser compilado, o código-fonte, transforma-se em software, ou seja, programas executáveis.

17 Menos usual: Outro item que pesa contra o sistema Linux é o fato de ser bem menos utilizado que o Windows. Segundo estatísticas da empresa Net Applications 8, outubro de 2009, o Windows lidera o mercado de sistema operacional com mais de 90% de utilização no mundo inteiro, enquanto o Linux não ultrapassa 1%, como mostrado no gráfico abaixo [10]: Figura 4 Utilização dos Sistemas Operacionais pelo Mundo [10]. 11.6 Checklist de Segurança em Servidores Linux Centos. Servidores baseados em Centos instalam, por padrão, diversos serviços e pacotes desnecessários, além de uma configuração padrão permissiva. Para isso, será mostrado um checklist pós-instalação para adicionar mais segurança. Além de aumentar a segurança, esse checklist proporciona melhorias de performance e libera recursos de memória, desativando serviços desnecessários. São eles: 1. Nunca utilize super usuário root diretamente, crie usuários comuns. Devemos sempre evitar o compartilhamento de senha do super usuário, e obrigatoriamente bloquear quaisquer uso direto do mesmo. Para isso basta adicionar usuários administradores do sistema. 2. Alterar o algoritmo de criptografia de senhas. Por padrão, o Centos utiliza algoritmo de criptografia MD5 para guardar as senhas, o que é 8 Net Applications: Empresa norte americana que fornece serviços na área de Tecnologia da Informação.

18 considerado fraco. Deve-se utilizar o SHA512, um algoritmo muito mais forte. 3. Restringir o uso do comando su. Para melhor segurança do super usuário root, deve-se restringir o uso do comando su apenas para usuários que estão no grupo wheel. 4. Bloquear recurso do SSH. O serviço de SSH é bem antigo e possui diversos recursos que são desnecessários ou trazem uma relativa insegurança ao serviço. Deve-se forçar o uso apenas da segunda versão do protocolo, não permitir usuários sem senha, autenticações baseadas em host, acesso direto com super usuário e nos servidores e evitar a permissão de redirecionamento de tráfego. 5. Desabilitar o acesso remoto a serviços portmap. Na grande maioria das vezes, não se utiliza o serviço portmap e o mesmo é uma grande fonte de vulnerabilidade e, por isso, deve-se bloquear o acesso a ele. 6. Habilite o sincronismo de hora. Manter os relógios dos servidores sincronizados é essencial para boa saúde dos seus sistemas e mais ainda para a saúde mental do auditor em caso de auditorias. 7. Filtrar spoof e combinações TCP inválidas. Deve-se filtrar qualquer tráfego recebido com IP s da rede 127.0.0.0/8 que não seja na interface loopback e combinações de flags TCP inválidas. 8. Bloquear tráfego de redes privadas. Por que permitir tráfego de redes privadas em servidores com tráfego exclusivo para internet? Devese bloquear. 9. Bloquear ataques de força bruta. Atualmente, ataques de força bruta contra serviços tipo SSH são extremamente comuns. Este tipo de ataque cessa caso o servidor pare de responder. Utilizando regras de iptables, pode-se criar uma regra para registrar e bloquear temporariamente o IP que acessar mais de 3 vezes com intervalos menores que 1 minuto este serviço. 10. Limitando tipos de pacotes ICMP. Deve-se restringir os tipos de pacotes ICMP recebidos pelo servidor. Os pacotes que devem ser

19 permitidos são: 0: Resposta a echo; 3: Destino inalcançável; 8: Requisição de ping; 11: Tempo limite excedido [11]. 12 ESTUDO DE CASO CONFIGURAÇÕES DO CENÁRIO Esta etapa consiste em utilizar os métodos e as ferramentas para a construção do projeto; é o tópico em que será aplicado o referencial do trabalho descrito nos capítulos anteriores em forma operacional ordenada para que todos os processos se concluam com êxito para alcançar os resultados. 12.1 Rede e Configuração Inicial do Servidor Neste tópico será realizado um cronograma inicial para verificação, instalação e configuração dos ativos, conforme os tópicos abaixo: Verificar rede de acesso a Internet, através da medição de velocidade; Instalar e configurar o Firewall de Borda; Instalar e configurar o servidor IPS; Instalar 3 interfaces de rede no servidor, sendo uma interface para Internet no qual será chamada rede wan; outra para Intranet no qual será chamada rede lan; e a outra para a DMZ no qual será chamada correio. Instalar switches, roteadores e montar patch pannel; Verificar e instalar cabeamentos; Instalar o Linux Centos versão 6.3 e, após a instalação, definir 3 classes de IP s para cada interface; A interface de rede do firewall de borda receberá o endereço de IP 200.252.123.5 do modem adsl que está configurado em bridge, sendo autenticado o PPPOE no próprio firewall de borda; Definir a interface lan do firewall de borda com o IP 172.16.0.2;

20 No servidor IPS não necessita de endereço, pois ele funciona como uma bridge entre os dois servidores: o firewall de borda e o servidor de internet; Definir a interface de rede rede wan para acesso a Internet em ligação com o firewall de borda passando pelo IPS em Bridge com o IP 172.16.0.1; Definir a interface de rede rede lan para acesso a Intranet com o IP: 172.16.2.0; Definir a interface de rede do servidor de email que está na DMZ com o IP 172.16.1.3; Definir a interface de rede do servidor de web que está na DMZ com o IP 172.16.1.2. 12.2 Configuração Inicial e Regras de Acesso Após a verificação da existência de Internet, configuração das interfaces de rede e instalação do Sistema Operacional, serão realizadas instalações de serviços, atualizações e configurações de regras para obter-se o resultado proposto. Seguem abaixo os tópicos para essa etapa: Bloquear endereços da Internet que venha a ferir as regras de acesso como: sites eróticos, blogs, redes sociais, sites esportivos, sites downloads, e-mail particular; Instalar e configurar servidor SAMBA para a interação com clientes Windows; Criar usuário administrador do servidor para o acesso total ao computador para a pessoa que gerenciará os serviços; Instalar o serviço DNS no servidor de Internet; Configurar o firewall de borda através de scripts, fazendo o direcionamento às portas SMTP e POP, usando scripts do IPTABLES, com os seguintes comandos: