[ SEGURANÇA ] 

Segurança de host  

Data do Documento: 12/03/1998
Ultima atualização: 12/03/1998
Palavras Chave: Internet, hacker, segurança, senhas, patch,  auditoria
Tradutor: Verdade @bsoluta
Arquivo: host.html
Status: completo

Comentários e correções são sempre bem-vindos.


Muitas pessoas consideram os firewalls como um elemento-chave da segurança na Internt. No entanto, os firewalls não são e não devem ser a única linha de defesa. Se o seu firewall for invadido, ou se vpcê não tiver um firewall, uma forte segurança de host continuará a proteger os seus sistemas ou seja, configure cada computador da rede para que ele seja resistente à intrusão

A segurança de host vem se mostrando como uma área de preocupação há alguns anos, muito antes de a maioria das pessoas ouvir falar da Internet. 

Devemos enfatizar que segurança de host não é o mesmo que segurança do sistema UNIX. Isso pode ter sido verdade há alguns anos, mas agora muitos sistemas operacionais já estão na Internet, incluindo Microsoft Windows e Windows NT, Apple Macintosh, IBM VM e VMS, DEC VMS e provavelmente qualquer sistema de computador que você possa imaginar, ou seja, todos os sistemas conectados à Internet são alvos em potencal e deverão ser protegidos da forma mais adequada possível. 

Providências a Tomar
Além de escolher um bom sistema operacional (eu sugito o UNIX), existem algumas providências que você deverä tomar para garantir a segurança de hosts individuais. A maior parte dessas providências é bem simples e deveria ser incluídas no processo de administração de sistema. 

Escolher senhas eficientes : Por mais de uma década as senhas fáceis de advinhar têm sido a forma de ataque favorita dos hackers.Exitem basicamente duas formas de dificutar a advinhação da senha pelo intruso: certifique-se de que os usuários utilizem senhas "eficientes" como destacaremos abaixo e faça auditorias das senhas periódicamente. Além disso, as senhas só deverão ser válidas durante um tempo limitado, para repelir ainda mais os pretensos violadores Alguns sistemas dispõem desses recursos já embutidos (ex. AIX), caso seu sistema não tenha este recurso, recomendo a instalação de um programa de gerenciamento de senhas. Todas as senhas utilizadas em sistemas acessíveis através da Internet :

  • Deverão ter pelo menos oito caracteres.
  • Deverão ser uma mistura de letras, números e símbolos.
  • Deverão conter letras maiúsculas e minusculas.
  • Não deverão coincidir com palavras do vocabulário ou de qualquer outro idioma.
  • Não deverão ser formadas por uma palavra com um número associado, como Seguro98.
  • Poderão ser uma combinação de duas palavras separadas por um símbolo, como Via~lactea.
  • Poderão ser as primeiras letras de uma frase como, Olcasol (Os livros conduziram alguns à sabedoria, outros à loucura - Petrarca).
Redobrar a checagem da configuração do sistema e fazer auditorias periódicas : Explorar configurações de sistema incorretas é outra das formas de ataque mais comuns. Como os sistemas multiusuários são complexos, um administrador de sistema inesperiente pode, sem querer, "deixar a porta aberta" para intrusos. Felizmente, existem várias ferramentas comerciais e de domínio publico disponíveis para auditar configurações de sistemas. Essas ferramentas garantem que os arquivos de sistema estão configurados de forma adequada, que as permissões de arquivo foram definidas corretamente e que protocolos de acesso perigosos estão desativados, dentre muitas outras tarefas.
Infelizmente, mesmo depois de você instalar as ferramentas de gerenciamento de senhas e confirmar que os seus sistemas estão corretamente configurados, ainda poderá haver pontos vulneráveis para ataque. Por exemplo, não é incomum ouvir falar de um bug de sistema operacional obscuro que permite aos crackers mais espertos fazerem a festa no sistema. 

Acrescentar controle de acesso à rede : Em geral, as máquinas não têm qualquer forma de controle de acesso na interface de rede, além do oferecido pelas aplicações para as quais portas específicas são destinadas. Normalmente é interessante oferecer algum tipo de controle na própria porta, independente da aplicação. Para essa finalidade no UNIX, é possível utilizar o "TCP wrapper". Este utilitário abrange a interface de rede inteira e compara todo o tráfego recebido com uma lista de acesso antes de permitir a conexão ao daemon apropriado. 

Remover serviços desnecessários : A regra básica é ter em mente que a configuração do host deve ser simples. Todos os serviços e daemons supérfluos deverão ser removidos; se o serviço não for necessário para uso e funcionamento adequado da máquina, não há razão para sua existência no equipamento. Especialmente as máquinas visíveis a partir da Internet (hosts bastion), pois elas representam alvos óbvios para ataque. 

Instalar patches de fornecedores rapidamente : Outro método de impedir ataques a pontos vulneráveis do sistema operacional é instalar todos os patches relevantes do fornecedor. Essas pequenas atualizações do sistema operacional corrigem bugs entre as principais versões. Muitas delas podem ser ignoradas sem maiores problemas, mas você deverá ter cuidado ao examinar e instalar qualquer uma que afete a segurança do sistema. A maioria dos fornecedores tem suas próprias listas de debate para anunciar patches importantes. 

Utilizar verificadores de integridade : Até mesmo os hosts mais bem protegidos podem ser ocasionalmente invadidos. É importante que o administrador do sistema descubra essas violações o mais rápido possivel. Existem uma grande variedade de ferramentas de auditoria e de verificação para essa finalidade. Para detectar programas mal-intencionados que o intruso incluem na rede, os verificadores de integridade examinam arquivos do sistema para determinar se houve alterações não autorizadas ou inesperadas. As ferramentas de auditoria registram e organizam eventos de sistema de modo que um ataque possa ser rapidamente reconhecido e combatido. O principal problema com esses tipos de ferramentas 'q que elas podem sobrecarregar o administrador do sistema com uma série de informações. Para combater isso, muitas das novas ferramentas tentam combinar logs de diversos hosts e filtrar informações que não sejam pertinentes. O real desafio é determinar exatamente o que é relevante e o que não é. 

Um problema com ferramentas de integridade e auditoria é que se estiverem localizadas no sistemas que está sendo protegido, elas ficam sujeitas a ataques. Por exemplo, o intruso pode modificar o programa básico e altera a integridade para ajustá-lo ao novo programa adulterado. Por essa razão, recomendo que informações de segurança importantes sejam armazenadas em outros sistemas ou em um meio físico que não possa ser modificado, como uma unidade WORM (write-once read-many) grava uma vez le várias.

Algumas ferramentas do UNIX de domínio público


ADVERTÊNCA
Qualquer site público corre o risco de armazenar programas modificados contendo vírus e cavalos de tróia que possam ser usados para violar sistemas. Para minimizar esse risco, somente faça o download de programas de sites conhecidos que muitas pessoas utilizam. Se possível antes de intalar qualquer programa de domínio público,  verifique se o fonte.

 
Nome da ferramenta Descrição Origem
SATAN Em sua versão atual, SATAN remotamente sonda e relata vários bugs e fraquezas em serviços de rede e sistemas de windowing, como também geral com muitos detalhes informações geralmente útil sobre o alvo(s). Ele 
processa os dados de forma cru e que podem ser usados por um especialista em segurança para gerar uma análise final. 
Estou realizando um estudo e traduçao de toda a documentação do SATAN, em breve tudo estará disponível aqui no site. (fique atento).
 
Passwd+ Um filtro de senha que garante que os usuários escolham senhas eficientes ftp://dartmouth.edu/pub/passwd+.tar.Z
Crack Um excelente programa de adivinhação de senhas ftp://ftp.uu.net/usenet/comp.sources.misc/volume28/crack
TripWire Um monitor da integridade do sistema de arquivos ftp://ftp.cs.purdue.edu/pub/spaf/COAST/Tripwire
COPS Uma ferramenta de inspeção de segurança que verifica se o sistema está configurado de forma segura ftp://cert.org/pub/cops
TCP Wrapper Ferramenta de geração de log e gerenciamento de conexão ftp://cert.org/pub/tools/tcp_wrappers
Xinetd Um substituto do inetd que dispõe de recursos de geração de log e de gerenciamento de conexão ftp://mystique.cs.colorado.edu/pub/xinetd
TAMU Um conjunto de ferramentas desenvolvidas na Texas A&M University que contém um filtro de pacotes, um programa de verificção de configuração e um programa de auditoria/geração de log ftp://net.tamu.edu/pub/security/TAMU

 
 
 
 
 
 


<=

http://www.absoluta.org      ---oOo---      verdade@absoluta.org

Copyright © 1998 - 1999  Verdade @bsoluta