A RFC 2196[1], publicada em Setembro de 97 tem como público alvo administradores de sistemas em rede e seu objetivo é ser um guia com recomendações referentes a esta área. Ele foi concebido tendo como base a RFC 1244[2] (publicada em julho de 91) de forma que a última atualizou os conceitos da primeira, tornando-a obsoleta.
Enquanto a RFC1244 tinha como foco definir o que deve estar presente em uma política de segurança, que tipo de procedimentos devem ser tomados e algumas recomendações; a outra (RFC2196) apresenta todo o conteúdo da primeira e ainda um guia de boas práticas para escrever o seu plano de segurança.
Seu conteúdo
RFC, ou Request For Comments são documentos publicados pelo Internet Engineering Task Force (IETF[3]) que descrevem a metodologia, comportamento, pesquisas e inovações aplicáveis ao funcionamento da Internet e sistemas à ela conectados[4]. Este formato de divulgação dos protocolos foi concebido no ano de 1969 como parte do projeto ARPANET que foi o embrião do que hoje conhecemos como Internet.
É interessante notar que documentos tão antigos (considerando a velocidade de evolução dos serviços disponíveis na Internet) consigam se apresentar tão atuais, como políticas de segurança, análise de risco etc, que já eram abordados na época em que estas primeiras RFCs foram criadas, mas agora – cerca de dez anos depois – ouve-se falar por todos os lados sobre estes conceitos. Por exemplo na seção 1.6 da RFC 2196 nos encontramos a preocupação na conscientização do administrador de sistemas quanto a criação de uma política de segurança e quanto a necessidade de se realizar uma análise de riscos.
Na seção 2, há um detalhamento maior sobre a politica de segurança, onde são abordados uma definição clara deste documento, seu objetivo, quem deve estar envolvido na sua concepção e sugestões do conteúdo que deve ser encontrado em qualquer boa política de segurança.
Encontramos ainda na seção 3 uma extensa lista de recomendações sobre algumas áreas importantes que certamente estarão em todas as políticas de segurança, tal como: separação de serviços, modelo do “negar tudo ou liberar tudo”, determinação dos serviços essenciais, proteção da infraestrutura da rede, dos serviços, servidores de nomes (DNS e NIS) senhas, servidores proxy e autenticação, correio eletrônico, WWW, FTP, NFS e Firewalls.
A seção 4 é bem extensa e completa com recomendações sobre metodologias de autenticação, meios de acesso, auditoria e backups.
Não poderia faltar neste importante documento uma seção abordando como agir no caso de ocorrer um incidente de segurança e isso pode ser conferido na seção 5 onde há uma explicação sobre planos de resposta a incidentes, pontos de contato e notificações, a equipe de resposta à incidentes de segurança entre outros itens importantes.
A RFC 2196 é distribuída gratuitamente pelo IETF a partir do seu website na Internet em formato TXT e HTML para leitura online ou mesmo para impressão. Qualquer pessoa interessada em obter um cópia deste documento pode acessar o seu website realizar o download sem necessidade de efetuar qualquer cadastro.
Como já dito o seu conteúdo está impecável no quesito atualidade. Tanto que, ao longo destes anos em que ele foi publicado, apenas uma errata foi publicada[5], no ano de 2004, onde unicamente uma correção gramatical foi realizada em sua página de numero 21. Onde lia-se:
[…]Firewalls help to place limitations on the amount and type of communication that takes place between the protected network and the another network[…]
Lê-se atualmente:
[…]Firewalls help to place limitations on the amount and type of communication that takes place between the protected network and another network[…]
O idioma original do documento é o inglês entretanto isso não deve/deveria ser um empecilho para que administradores de sistemas pudessem lê-lo, já que este idioma é quase que o padrão não só para área de TI, mas para o mundo acadêmico como um todo.
Também é impossível deixar de se comentar a lista de referências bibliográficas deixadas por seus autores que é extensa o suficiente para demonstrar que nada do que foi escrito “surgiu do nada” em suas cabeças.
Várias de suas recomendações estão presentes em normas mais recentes como ISO/IEC 17799/2000 que posteriormente (Jul-2007) foi renumerada para ISO 27002[6,7], com a vantagem de que a RFC é de domínio público e pode ser obtida e lida gratuitamente por qualquer pessoa um sem qualquer ônus.
Considerações Finais
Atualmente várias empresas ambicionam estar em acordo com as normas ISO. Certamente que uma leitura atenciosa a esta RFC ajudará bastante a a empresa a dar seus primeiros passos nesta direção sem a necessidade de grandes investimentos.
Embora a RFC 2196 tenha sido escrita em 97, ainda está bem atual em seus conceitos. Tendo dezenas referências bibliográficas para respaldar e atestar a veracidade e qualidade de suas recomendações este é um documento que podemos dizer que não deveria sair da mesa do administrador de sistemas e que por sua vez deveria saber e seguir senão todo o seu conteúdo, ao menos 80% de seu conteúdo.
Referências bibliográficas
[1] Network Working Group/Internet Engeenering Task Force. Request for Comments 2196. Sep. 1997. Disponível em <http://tools.ietf.org/html/rfc2196 > . Acessado em 05-04-2009.
[2] Network Working Group/Internet Engeenering Task Force. Request for Comments 1244. Jul. 1991. Disponível em <http://tools.ietf.org/html/rfc1244 >. Acessado em 05-04-2009.
[3] The Internet Engeenering Task Force. Disponível em <http://www.ietf.org/index.html >. Acessado em 06-04-2009.
[4] Wikipédia – The Free Encyclopedia. Request for Comments. Disponível em <http://en.wikipedia.org/wiki/Request_for_Comments>. Acessado em 05-04-2009.
[5] IETF Secretariat. RFC Errata Report, ID 482 – RFC2196. 13-10-2004. Disponível em <http://www.rfc-editor.org/errata_search.php?rfc=2196>. Acessado em 10-04-2009.
[6] Wikipédia – The Free Encyclopedia. ISO/IEC 27002. Disponível em <http://en.wikipedia.org/wiki/ISO_17799>. Acessado em 10-04-2009.
[7] Standards Direct – International Standards an Support Matrerials. ISO 27002 – The Information Security Standard. Disponível em <http://www.standardsdirect.org/iso17799.htm>. Acessado em 05-04-2009.