Início > Uncategorized > Medidas preventivas de segurança II

Medidas preventivas de segurança II

Dando continuidade aos comentários sobre medidas de segurança que podem ser adotadas como forma de prevenir invasões e ataques de hackers, seguem novas postagens sobre o tema.
 
Firewall corporativo
Um firewall (barreira de fogo) tem a finalidade de proteger a rede de ataques externos. Entretanto, configurados basicamente ou erroneamente, eles são a mesma coisa que nada. Opte por usar programas firewall de inspeção stateful, ou seja, que só permite a entrada de dados que sejam resposta de uma solicitação proveniente da rede interna. Assim, as possibilidades de invasão diminuem drasticamente. Exemplos: SMB Cisco (http://teste.b2bis.com.br/global/br/smb/produtos_smb_pix501.shtml), Roteador 3Com (http://www.imagemrio.com.br/descricao.asp?CodProd=3CR85891), IPtables (http://www.linuxchix.org.br/palestras/iptablespalestra.pdf), Red Hat (http://www.br.redhat.com/training/course/RHS342), Astaro Security (http://terrabrasil.softonic.com/ie/30546/Astaro_Security_Linux).
Observação: O ISA Server não executa inspeção stateful em pacotes SSL
 
Firewall pessoal
O anterior deve ser implementado a nível de servidor e roteador. E no seu computador, o uso de um firewall pessoal aumenta a dificuldade de invasão (ps.: não existe proteção total, assim como existem pessoas motivadas o suficiente para conseguir invadir um sistema, custe o que custar). Exemplos: Kerio Personal Firewall (freeware – http://info.abril.com.br/download/2186.shtml), Xeon Personal Firewall (shareware – http://portugues.softpicks.net/software/Xeon-Personal-Firewall_pt-8979.htm), Comodo Personal Firewall (freeware – http://baixaki.ig.com.br/download/Comodo-Personal-Firewall.htm), entre outros.
 
Varredura de porta
São 65536 portas disponíveis no PC que se conecta a uma rede ou à Internet. Uma varredura de porta busca portas altas não protegidas pelo firewall, e na maioria dos casos, obtém sucesso. Para entender melhor, veja http://www.4linux.com.br/pdf/pentest20061221.pdf. Para fazer uma varredura de portas, SecurWall (http://baixaki.ig.com.br/download/SecurWall.htm) e SuperScan (http://www.boadica.com.br/prgconteudo.asp?codigo=598), ambos freewares. Para saber as portas que estão abertas em seu sistema, veja Windows Live Safety – http://baixaki.ig.com.br/download/Windows-Live-Safety-Center.htm e Angry IP Scanner – http://baixaki.ig.com.br/download/Angry-IP-Scanner.htm
 
Conheça o seu sistema
Inspecionar a lista de processos, examinar os programas instalados, verificar o sistema de arquivos, suspeitar de alterações no espaço livre de unidades, contas de usuários esquecidas, contas especiais instaladas por default, permissões de acesso às pastas, checar os logs de acessos no servidor Web, verificar log de sistema, verificar permissões em servidores que rodam FrontPage ou WebDav, permissões em servidores FTP e SMTP… Conhecer o sistema é administrar ele. Administrador de Redes não é ficar sentado navegando na Internet. É trabalhar ativamente para garantir a segurança digital da empresa. Conforme diria SunTzu, conhece a ti mesmo e ao inimigo, e vencerás todas as batalhas, em seu livro A Arte da Guerra.
 
Resposta alerta a incidentes
Saber quando o sistema está sendo invadido, ou sofrendo tentativa de invasão, no momento em que acontece, é importante. Monitorar o evento 681 dos logs de segurança do Visualizador de evento, e informar alguém via mensagem de e-mail. O evento 681 indica que houve uma tentativa de acesso ao sistema através de um login que não existe, ou através de login válido mas com senha errada ou através de uma conta desativada. Quando um IP está forçando acesso ao seu sistema, verifique o que ele anda fazendo… O site http://www.trustedsource.org/query.php?q=207.68.0.0/16 mostra a atividade de e-mails enviados a partir de uma range de IPs. Por aí dá para identificar se é um spammer xarope.
 
Detectar mudanças em aplicativos
O programa Tripwire (http://sourceforge.net/projects/tripwire/) monitora alterações em arquivos cadastrados. Um arquivo alterado pode ter um spyware embutido, ou alterações no código de máquina do executável existam para permitir acesso onde deveria estar bloqueado.
 
Permissões
Sabe onde estão armazenadas as informações confidenciais de sua empresa? Se você sabe, alguém poderá encontrar elas. E se as permissões foram definidas no modo default, então elas são públicas. Vejo muitos técnicos se gabarem de montar uma rede inteira em menos de dois dias. E as configurações de permissões? Deixou tudo no default. E as senhas de acesso? Deixou tudo no default. Um erro que provoca outro, que provoca outro, e assim a empresa inteira é invadida… Mas o importante é que a rede foi montada em apenas dois dias.
 
Aplicativos de terceiros
Muitas medidas de segurança podem ser implementadas diretamente no sistema operacional do servidor, sem a necessidade de instalação de aplicativos de terceiros. Você sabia? Pois é, vou fazer minha tese na faculdade sobre este tema, e provar por A+B que um administrador de redes competente consegue proteger toda a rede usando somente o pacote básico da instalação do Windows Server.
Mas como a maioria das pessoas não quer ter o trabalho de mudar chaves, configurações e permissões com tanto detalhamento, optam por aplicativos de terceiros, e confiam a sua empresa a uma outra que sequer ouviram falar. Os aplicativos de terceiros podem ter backdoor instalados internamente, podem possuir uma configuração default fraca, ou ainda registrarem informações que não deveriam ser registradas. Veja por exemplo o popular WS-FTP, que por default salva arquivos LOG indicando quais arquivos foram transferidos, quando foram, qual servidor recebeu os arquivos e em qual pasta foram gravados.
2006.03.26 14:05 B C:Documents and SettingsAdministratorinicial.htm –> 164.146.106.10 /httpdocs inicial.htm
Este é um exemplo da linha do WS-FTP.LOG…
 
Senhas
Os arquivos de senha, mesmo criptografados, podem ser copiados para fora de sua rede e submetidos a programas de descoberta de senha por meio de força bruta. O que estes programas fazem é testar cada palavra de dicionário, sequencialmente. Portanto, a primeira deve ser algo como AAAAAA (se foi atribuído 6 dígitos para teste), depois AAAAAB, e assim sucessivamente. O interessante nestes porgramas, além de ‘descobrir’ a senha é o modo de funcionamento. Então, quando é uma senha numérica, depois de 6 tentativas, ele descobre a 123456. Porque ao descobrir o primeiro valor, 1, o segundo que será testado é 11, e assim, 12, acertando, passa para 122, depois 123… Mais um, além dos N motivos, para não usar senhas óbvias.
Uma forma de se proteger é usar senhas com caracteres não imprimíveis, como ALT+219 por exemplo. Em cada fonte de letras é um caracter diferente, mas o que você vai decorar para sua senha é o código. Assim fica bem mais difícil descobrir através da força bruta, pois os programas não costumam usar caracteres extendidos em grego, latim, etc.
 
Proteger shares (compartilhamentos)
Os compartilhamentos não devem ser abertos para Todos (EveryOne). O administrador deve, quando possível, adicionar um por um os usuários que podem ter acesso a eles. Assim, diminui as possibilidades de acesso. A menos que sofram ataques de engenharia social e alguém entregue a senha (ou use uma senha óbvia demais).
 
Impedir adivinhação de DNS
O que seria a adivinhação? É quando o administrador usa nomes-padrão na definição dos micros e servidores da empresa. Por exemplo, qual o nome do servidor de backup de sua empresa? Backup? Legal… Qual o nome do micro da diretora? Diretora? Muito bem… E o servidor de e-mails? SMTP? Parabéns, você acaba de ser invadido.
Baseado no endereço web de seu domínio, montamos o caminho backup.seudominio.com.br e conseguimos acesso a ele. Ou então, diretora.seudominio.com.br
Mudar o domínio não dá, portanto, mude o nome da máquina. Uma codificação previsível, mas segura, é o número de série do PC. BR148912.1252B.PN4.seudominio.com.br alguém adivinharia? Talvez não…
 
Proteger servidores SQL
Em especial a porta 1433, que deve ser filtrada. A partir do backup do correio eletrônico e um servidor Web que usa Microsoft SQL Server, podemos acessar através de senhas esquecidas no Include da programação. Muitas invasões não acontecem por perícia dos invasores, mas por falta de profissionalismo dos administradores. As invasões se concentram em erros de programação que todos cometem, em nomes de servidores que todos usam, em comportamentos previsíveis daqueles que não deveriam ter um comportamento tão esperado assim.
 
Protegendo arquivos confidenciais
Mais importante do que atribuir senhas para os arquivos confidenciais é criptografar eles. Através de chaves PHP ou com as opções existentes nos próprios sistemas operacionais. E importante, faça backup (e proteja-o), pois a descriptografia é praticamente impossível.
 
Protegendo backups
Muitas pessoas realizam backup com perfil de administrador e depois largam ele com acesso full para Todos. Qual a utilidade de um backup assim? Ocupar mídias ociosas? Quem deve fazer o backup é alguém com o perfil de operador de backup, e além do mais, retirar as permissões de acesso. Assim, se alguém conseguir acessar o backup dos arquivos, não conseguirá (pelo menos vai demorar para) acessar os dados. Os administradores acham que o acesso ao backup não tem tanto risco assim, mas da mesma forma que existem aqueles que reviram latas de lixo de astros em Hollywood, existem os garimpeiros digitais, que fazem a mesma coisa com os arquivos de backup considerados ‘lixo digital’.
 
Protegendo-se contra ataques de injeção SQL
Não execute um servidor SQL sob o contexto de sistema, produza códigos que não gerem solicitações SQL dinâmicas e use os procedimentos armazenados para executar solicitações SQL. Tudo isto em uma conta que seja usada apenas para executar esses procedimentos e configure adequadamente as permissões para realizar somente as tarefas necessárias.
 
Serviços VPN
Como forma de autenticação, o VPN usa as senhas do Windows para realizar a autenticação. E isto, quando se tem senhas fracas, é um convite para a invasão dos servidores da empresa. Não se esqueça de remover as contas inativas do sistema e desativar as contas de funcionários que saíram da empresa, além de restringir o horário de acesso ao VPN e se possível, restringir o acesso ao número de IP do funcionário.
 
Arquivos de instalação esquecidos
Para ‘facilitar’ a instalação, muitos usam scripts para automatizar o processo. Muito bem. Mas apague-os após o uso. Com acesso ao script podemos conhecer a estrutura da rede, obter números seriais dos softwares, e talvez descobrir a senha/perfil que está sendo usado para proceder a instalação.
 
Renomear as contas de administrador
Quando possível, trocar o nome da conta de administrador para outro menos previsível é altamente recomendável. ADMIN, INFO, ADMINISTRADOR, ADMINISTRATOR, ROOT, estes são os primeiros que são tentados em uma invasão através de acesso remoto, explorando o IUSR_Servidor, ou a conta Convidado, ou a conta Anonymous… Enfim, dificultar a identificação das contas de sua rede, a começar pela conta do administrador.
 
Desativar o armazenamento de senhas do Windows
Por default, Internet Explorer e Outlook podem armazenar suas senhas no registro do Windows. Através de acesso remoto, uma pessoa poderia executar o REGEDIT por linha de comando e exportar uma cópia .REG do seu registro. Depois com os aplicativos apropriados, os hashes de senhas seriam quebrados, e como 99% das pessoas usam a mesma senha para tudo, de servidor de domínio até site pornô, o acesso a sua rede seria questão de minutos.
 
Defesa interna
Muito se fala e muito se faz com relação a ataques externos, e os ataques provenientes de dentro do perímetro? São computadores esquecidos com a senha aberta, pontos de rede esquecidos, portas USB ativadas, etc. Veja lá em Medidas preventivas de segurança I como evitar que estes problemas aconteçam. Este tópico aparece aqui apenas para lembrar de ler a parte I.
 
A seguir, comentários mais detalhados sobre cada item listados aqui neste post. Aguardem.
Categorias:Uncategorized
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: