Esta resenha foi escrita para atender a exigência de uma das disciplinas da minha especialização em Gerencia de Rede de Computadores e que estou quase na reta final. Como a disciplina já terminou e já fui aprovado na matéria acho que não há pecado em compartilhar o trabalho (com algumas modificações é claro) com os colegas. Aqui pretende-se avaliar o trabalho escrito e mantido pelo CERT.BR (Centro de Estudo, Resposta e Tratamento de Incidente de Segurança no Brasil) intitulado Práticas de segurança de rede para administradores de redes internet.
Conforme o próprio texto se autodescreve a sua intenção é reunir um conjunto de boas práticas em configuração, administração e operação segura de redes conectadas à Internet minimizando assim as chances de ocorrerem problemas de segurança. Este documento foi disponibilizado em 12/Julho de 2002, no website da instituição[1] e durante aquele ano e no seguinte sofreu algumas revisões chegando até a versão 1.2 em 6/Maio/2003, o qual é o alvo deste trabalho.
Assunto
O documento objeto deste trabalho pode ser encontrado no website do CERT.BR[1], em formato HTML (Hyper Text Language Markup) para leitura online e também em formato PDF (Portable Document Format), para download e posterior leitura offline. Ambos os formatos já são bem difundidos o que permite a sua leitura sem dificuldades em praticamente qualquer computador atual.
Para definir esta obra, de leitura recomendada a todo administrador de rede de computadores, não há palavras melhores do que a própria descrição dada pela instituição que o mantém:
Este documento procura reunir um conjunto de boas práticas em configuração, administração e operação segura de redes conectadas à Internet. A implantação destas práticas minimiza as chances de ocorrerem problemas de segurança e facilita a administração das redes e recursos de forma segura.
As recomendações apresentadas são eminentemente práticas e, tanto quanto possível, independentes de plataforma de software e hardware. A maioria dos princípios expostos é genérica; a sua efetiva aplicação requer que um administrador determine como estes princípios podem ser implementados nas plataformas que ele utiliza.
Este documento é dirigido ao pessoal técnico de redes conectadas à Internet, especialmente aos administradores de redes, sistemas e/ou segurança, que são os responsáveis pelo planejamento, implementação ou operação de redes e sistemas. Também podem se beneficiar da sua leitura outras pessoas com conhecimento técnico de redes.
Como lê-se tal documento não parte do princípio que o leitor está usando o sistema A ou o sistema B, deixando-o a vontade a ler e aplicar suas sugestões conforme a necessidade e de acordo com a plataforma a qual o mesmo usa em seu cotidiano.
Nota-se ainda que embora este trabalho tenha sido escrito visando a equipe técnica de redes o mesmo ainda poderá ser de grande serventia para outras pessoas que embora não estejam especificadas deduz-se que ai estejam incluídos docentes e discentes de cursos técnicos, graduação e pós-graduação em áreas afins,bem como quaisquer outras pessoas interessadas no assunto.
Embora o documento não esteja disponível sob uma licença dita livre, tal como, GNU FDL[2], Creative Commons[3] ou outra. Conforme o autor registrou no tópico de número 1.3 o arquivo pode ser livremente copiado, distribuído e utilizado para qualquer fim, desde que não seja comercializado, nem modificado.
Um checklist do documento também está disponível nos mesmos formatos de arquivo para leitura online e download, onde se pode ter um breve resumo sobre cada um dos seus 3 principais capítulos e respectivos tópicos abordados em cada um deles. Os citados capítulos abordam respectivamente os temas a seguir:
1 Criação de uma política de segurança
Neste tópico os autores abordam a criação deste documento tão fundamental e tão pouco cuidado e que ultimamente tem se tornado rotineiro, ouvir falar sobre, já que as boas práticas recomendadas pelas normas NBR ISO/IEC 17799, NBR ISO/IEC 27001, ITIL, COBiT entre outras, recomendam fortemente a necessidade deste tio de documento.
2 Dicas para instalação e configuração segura de sistemas
Neste capítulo estão informações sobre como o administrador deveria preparar a instalação de um novo sistema no seu servidor, estratégias de particionamento, como realizar a documentação da instalação e da configuração de determinado software, os cuidados com a senha administrativa, recomendações sobre a instalação mínima seguida da desativação de serviços que não serão utilizados, instalação de correções e atualizações de segurança e prevenção de abusos na utilização de recursos como os fornecidos por servidores SMTP e PROXY.
3 Administração e operação segura de sistemas
Neste capítulo, que é o maior disponível neste documento, é abordado desde a a educação dos usuários até recomendações sobre redes sem fio, passando por LOGs, DNS, WHOIS, criptografia e uma boa gama de serviços que fazem parte do dia-a-dia do administrador de redes de computadores.
Embora haja uma seção própria para tratar de questões relacionadas a disciplina do usuário, esta seção está longe de esgotar o assunto, ou mesmo de ser útil para um usuário comum de computadores. Para este fim há uma cartilha própria do CERT.BR disponível em [4] com dicas e sugestões para pessoas sem muito conhecimento técnico. No citado endereço há inclusive alguns vídeo tutoriais que podem ser utilizados até mesmo em salas de aula e em campanhas educativas.
Dentre as seções encontramos aquela destinada à recomendações sobre servidores de tempo (NTP) e zonas de tempo;importância da necessidade de se manter um canal eficiente de comunicação entre os membros da equipe técnica, necessidade de se manter controle sobre alterações na configuração de um sistema, o cuidado com o uso de contas privilegiadas (tal como o root no Linux ou o Administrator no Windows), cuidados com os logs de auditoria, cuidados com a configuração de um servidor DNS, a necessidade de se manter os dados de contato atualizados, o cuidado com uso de protocolos não-criptografados, endereços reservados, politicas de backup, a importância de se mante atualizado e informado, precauções com engenharia social, firewall e redes wireless.
Apreciação Crítica
O guia Práticas de segurança de rede para administradores de redes internet é uma obra de simples leitura, facilmente navegável, permitindo ao leitor realizar uma leitura sequencial – do seu início ao fim –, ou mesmo por partes – começando pelo tópico que mais o interessar, no momento.
O fato de estar sendo distribuído nos formatos HTML e PDF permite que um grande número de pessoas possa fazer sua leitura já que estes formatos são considerados padrão de mercado e de indústria (o primeiro, pelo W3C[5] (World Wide Web Consortium) e o segundo uma padronização isso sob a identificação ISO32000-1:2008[6]) e portanto pode ser lido praticamente em qualquer plataforma atual, desde um robusto PC, Mac até um pequeno telefone celular ou smartphone.
O conteúdo do material é bem claro e e embora sua última revisão seja datada em 2003, o seu conteúdo está bem atual, já que o mesmo não cita ferramentas e suas versões, mas conceitos que devem estar presentes em qualquer sistema, plataforma ou estrutura que se venha a gerenciar.
Apesar disso ainda há recomendações que poderiam ser atualizadas, sendo recomendável uma certa atenção do leitor com relação a isso. Por exemplo, no item 4.3.2 (Controle de Alterações na Configuração) os autores recomendam o uso do RCS[7] ou do CVS[8], que segundo alguns grupos de usuários e desenvolvedores de projetos FOSS (Free and Open Source Software) são bastante antigos e limitados. Tanto que muitos deles migraram seus sistemas de versionamento para ferramentas mais modernas tais como o Git[9] usado pelo grupo de desenvolvedores da linguagem Ruby on Rails[10] e pelo projeto de desenvolvimento do Kernel Linux[11], o projeto X.org[12] entre inúmeros outros.
O item 4.13 também é outro que precisa de atualização, já que ele aborda o conceito de redes sem fio e no período de 2003 até a presente dada o protocolo 802.11 recebeu diversas modificações que o texto cita vagamente como o protocolo de segurança WPA que é uma evolução do WEP e por isso mais seguro que aquele primeiro[13, 14 e 15] e em alguns casos não cita outros recursos, tal com o WPA2[15] que deveria ser utilizado o quanto antes nas atuais redes desta modalidade, já que a versão WPA teve sua confiabilidade violada.
A obra ainda conta com uma lista de cerca de vinte referências de consulta para orientar aqueles que precisarem de maiores informações, seja sobre o assunto de forma genérica, ou especificamente para algumas plataformas e sistemas.
Para finalizar há ainda um índice remissivo, em suas últimas páginas, que agiliza a localização de temas para leituras pontuais, caso o leitor opte por imprimir todo o material para referência futura e leitura off-line.
Considerações Finais
O texto disponibilizado pelo CERT.Br é de leitura fácil e bastante esclarecedor, não somente para os iniciantes na área de administração de redes, mas também para aqueles já experientes e que eventualmente possam precisar relembrar alguns conceitos básicos de boas práticas.
Para todos os efeitos, esta é uma iniciativa plausível, mas é notória a necessidade de atualização em alguns tópicos do texto, visto que a sua última edição em 2003 já pode ser considerada suficientemente defasada em alguns tópicos, como já comentado. Por ser distribuído por uma das entidades de maior peso na Internet brasileira algum administrador desatento poderia segui-lo fielmente sem considerar as necessidades de atualização, o que poderia causar problemas de insegurança em uma rede corporativa.
Referências bibliográficas
[1] CERT.BR. CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil – Missão. Jan. 2008. Disponível em: <http://www.cert.br/missao.html>. Acessado em: 22-03-2009.
[2] Free Software Foundation. GNU Free Documentation License – Version 1.3. Jan. 2009. Disponível em: <http://www.gnu.org/licenses/fdl.html>. Acessado em 23-03-2009.
[3] Creative Commons. Escolhendo uma licença. Disponível em: <http://www.creativecommons.org.br/index.php?option=com_content&task=view&id=22&Itemid=35>. Acessado em: 24-03-2009.
[4] CERT.Br. Cartilha de Segurança para Internet. Jul. 2007. Disponível em: <http://cartilha.cert.br/>. Acessado em: 22-03-2009.
[5] JACOBS, Ian. About the World Wide Web Consortium (W3C). Abr. 2008. Disponível em <http://www.w3.org/Consortium/>. Acessado em 28-03-2009.
[6] RAY, Bill. ISO certifies Adobe’s PDF. Jul. 2008. Disponível em: <http://www.theregister.co.uk/2008/07/03/pdf_iso_standard/>. Acessado em: 27-03-2009.
[7] Free Software Foundation, Inc. Revision Control System (RCS). Disponível em <http://www.gnu.org/software/rcs/rcs.html>. Acessado em: 28-03-2009.
[8] PRICE, Derek Robert, XIMBIOT. CVS – Concurrent Versions System. Dez. 2006. Disponível em <http://www.nongnu.org/cvs>. Acessado em 28-03-2009.
[9] CHACON, Scott. About GIT. Disponível em <http://git-scm.com/about>. Acessado em: 23-03-2009.
[10] HANSSON, David Heinemeier. Rails is moving from SVN to Git. Disponível em <http://weblog.rubyonrails.org/2008/4/2/rails-is-moving-from-svn-to-git>. Abr. 2008. Acesssado em: 24-03-2009.
[11] The Linux Kernel Archives. Development trees. Disponível em <http://www.kernel.org/>. Acessado em: 22-03-2009
[12] X.Org Foundation. Modular X development using the git trees. Disponível em <http://www.x.org/wiki/Development/git>. Acessado em: 24-03-2009.
[13] PEREIRA JUNIOR, Carlos Alberto de Carvalho Vaz, BRABO, Gustavo da Silva, AMORAS, Romulo Augusto de Sales. SEGURANÇA EM REDES WIRELESS PADRÃO IEEE802.11b: PROTOCOLOS WEP, WPA E ANÁLISE DE DESEMPENHO . 2004. Disponível em <http://www.cci.unama.br/margalho/portaltcc/tcc2004/carlosgustavo&romulo.pdf> Acessado em: 25-03-2009.
[14] SANTOS, Isabela Chaves. WPA: A evolução do WEP. Fev. 2003. Disponível em <http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=70>. Acessado em 25-03-2009.
[15] OZÓRIO, Wellington Cesar. ANÁLISE COMPARATIVA ENTRE OS PROTOCOLOS DE SEGURANÇA WEP, WPA E WPA2. 2007. Disponível em <http://bibdig.faj.br/document/?down=47> Acessado em: 25-03-2009.