Grupo de Trabalho de Redes B. Fraser Request for Comments: 2196 Editor FYI: 8 SEI/CMU Obsoleto: 1244 Setembro 1997 Categoria: Informativo
Este memorando tem como objetivo prover informações para
a comunidade da Internet. Não tem o objetivo de se tornar um padrão
para a Internet. A distribuição deste memorando é
ilimitada.
Este manual é um guia para desenvolvimento de políticas de
segurança de computador e procedimentos para sites que têm
seus sistemas na Internet. O propósito deste manual é proporcionar
um guia prático aos administradores tentando tornar segura
uma grande variedade de informações e serviços. Os assuntos abordados
incluem os conteúdos de política e formação,
tópicos técnicos de segurança de redes, e, também,
reações a incidentes de segurança.
1. Introdução
1.1 Propósito deste Trabalho
1.2 Público Alvo
1.3 Definições
1.4 Trabalho Relacionado
1.5 Guia Básico
1.6 Taxa de risco
Este documento é um guia para administradores de sistemas e redes,
o qual explica como tratar assuntos de segurança dentro da comunidade
de Internet. Este foi elaborado com base no RFC 1244 através do trabalho cooperativo de vários
autores. Os autores
deste trabalho incluem: Jules P. Aronson (aronson@nlm.nih.gov), Nevil Brownlee
(n.brownlee@auckland.ac.nz), Frank Byrum (byrum@norfolk.infi.net), Joao
Nuno Ferreira (ferreira@rccn.net), Barbara Fraser (byf@cert.org), Steve
Glass (glass@ftp.com), Erik Guttman (erik.guttman@eng.sun.com), Tom Killalea
(tomk@nwnet.net), Klaus- Peter Kossakowski (kossakowski@cert.dfn.de), Lorna
Leone (lorna@staff.singnet.com.sg), Edward.P.Lewis (Edward.P.Lewis.1@gsfc.nasa.gov),
Gary Malkin (gmalkin@xylogics.com), Russ Mundy (mundy@tis.com), Philip
J. Nesser (pjnesser@martigny.ai.mit.edu), and Michael S. Ramsey (msr@interpath.net).
Além dos escritores identificados acima, vários revisores proveram valiosos comentários. Estes revisores são: Eric Luiijf (luiijf@fel.tno.nl), Marijke Kaat (marijke.kaat@sec.nl), Ray Plzak (plzak@nic.mil) and Han Pronk (h.m.pronk@vka.nl).
Um obrigado especial vai para Joyce Reynolds, ISI, e Paul Holbrook, CICnet, por suas idéias, liderança, e esforço na criação da primeira versão deste manual. E o que o grupo sinceramente espera é que esta versão seja tão útil a comunidade como a anterior.
Este manual é um guia para implantação de políticas
de segurança de computadores e procedimentos para sites que têm
seus sistemas na Internet (porém, a informação provida
também deve ser utilizada para locais não ainda conectados
a Internet). Este guia lista assuntos e fatores que um site deve considerar
quando implementa suas próprias políticas. São feitas
várias recomendações e provê discussões
de áreas pertinentes.
Este guia é só uma estrutura para implementar políticas e procedimentos de segurança. Na verdade, para ser ter um conjunto efetivo de políticas e procedimentos, um site terá que tomar muitas decisões, fazer acordos, e então comunicar e implementar estas políticas.
O público alvo para este documento são administradores de
sistemas e redes, e tomadores de decisão (tipicamente gerentes médios)
nos sites. Para brevidade, nós usaremos o termo " administrador
" ao longo deste documento para se referir a administradores de sistemas
e redes.
Este documento não é dirigido a programadores, mesmo que esses estejam tentando criar programas ou sistemas seguros. O enfoque deste documento está nas políticas e procedimentos que precisam ser usadas para viabilizar as características técnicas de segurança que um site deve implementandar.
O público principal para este trabalho são locais que fazem parte da comunidade Internet. Todavia, este documento poderá ser útil a qualquer site que permita comunicação com outros sites. Como um guia geral para políticas de segurança, este documento pode também ser útil para sites com sistemas isolados.
Para a finalidade deste guia, um " site " é qualquer organização
que possui computadores ou recursos de rede relacionados. Estes recursos
podem incluir computadores que os usuários usam, routers, servidores
de terminais, PCs, ou outros dispositivos que têm acesso à
Internet. Um site pode ser um usuário final de serviços Internet
ou um provedor de serviço. Porém, a maioria do enfoque deste
guia está nesses usuários finais de serviços de Internet.
Nós assumimos que o site tem capacidade de implementar políticas
e procedimentos para si mesmo com o consentimento e suporte dos que são os donos dos
recursos. Será assumido que locais que são partes de organizações
maiores saibam quando eles precisam consultar, colaborar, ou acatar recomendações
de entidades maiores.
A " Internet " é uma coleção de milhares de redes interligadas por um conjunto de protocolos técnicos que tornam isto possível para usuários de qualquer uma das redes se comunicar com, ou usar os serviços localizado em, quaisquer das outras redes (FYI4, RFC 1594).
O termo " administrador " é usado para incluir todas as pessoas que são responsável para a operação do dia-a-dia do sistema e recursos da rede. Podem ser vários indivíduos ou uma organização.
O termo " administrador de segurança" é usado para incluir todas as pessoas que são responsáveis pela segurança das informação e tecnologia de informação. Em alguns sites esta função pode ser combinada com a do administrador (cima citado); a outros, esta será uma posição separada.
O termo " tomador de decisão" se refere a essas pessoas em um site que aprovam a política. Estes são freqüentemente (mas não sempre) as pessoas responsáveis pelos recursos.
O grupo de trabalho do Site Security Handbook esta trabalhando em um Guia
de Usuário para Segurança de Internet. Este proverá
um guia prático para usuários finais ajudando-os a proteger
as suas informação e recursos.
Este guia foi escrito com o objetivo de proporcionar uma visão rápida
de desenvolvimento de um plano de segurança para seu site. A sugestão
de Fites, et. al. [Fites 1989] inclui os seguintes passos:
(1) Identifique o que você está tentando proteger.
(2) Determine do que você está tentando se proteger.
(3) Determine o quanto provável são as ameaças.
(4) Implemente medidas as quais protegerão seus recursos importantes
de maneira efetiva.
(5) Revise o processo continuamente e faça melhorias cada vez que
uma fraqueza for encontrada.
A maior parte deste documento é enfocado em 4 itens acima, mas os outros passos não podem ser evitados se um plano efetivo deve ser estabelecido em seu site. Um velho axioma em segurança é que o custo de se proteger contra uma ameaça deve ser menor que o custo da recuperação se a ameaça o atingir. Custo neste contexto significa incluir perdas expressadas em moeda corrente real, reputação, confiança e outras medidas menos óbvias. Sem conhecimento razoável do que você está protegendo e o que são as ameaças prováveis, seguir estas regras poderá ser difícil.
Um das razões mais importantes de criar uma política de segurança
de computador é assegurar que esforços dispendidos em segurança
renderão benefícios efetivos. Embora isto possa parecer óbvio,
é possível se enganar sobre onde os esforços são
necessários. Como por exemplo, existe muita publicidade sobre intrusos externos
em sistemas de computadores, mas a maioria das pesquisas de segurança
de computador mostram que, para a maioria das organizações,
a maior perda ocorre com intrusos internos.
A análise de risco envolve determinar o que você precisa proteger, do que você precisa proteger, e como proteger. Este é o processo de examinar todos os riscos e ordena esses riscos por nível de severidade. Este processo envolve tomada de decisões por custo-efetivos do que você quer proteger. Como mencionado acima, você provavelmente não deve gastar mais para proteger algo a menos que seja de fato importante.
Um tratamento completo de análise de risco está fora do escopo deste documento. [Fites 1989] e [Pfleeger 1989] proveram introduções para este tópico. Entretanto, há dois elementos da análise de risco que serão brevemente abordados nas próximas duas seções:
(1) Identificando os recursos
(2) Identificando as ameaças
Para cada recurso, os objetivos básicos de segurança são disponibilidade, confiabilidade e integridade. Cada ameaça deve ser examinada de modo a verificar como a ameaça pode afetar estas áreas.
Um dos passos em uma análise de risco é identificar todas
as coisas que precisam ser protegidas. Algumas coisas são óbvias,
como informação proprietárias, propriedade intelectual
e todos os vários componentes de hardware; mas, alguns são
negligenciados, tal como as pessoas que de fato usam os sistemas. O ponto
essencial é listar todas as coisas que podem ser afetadas por um
problema de segurança.
Uma lista de categorias é sugerida por Pfleeger [Pfleeger 1989]; segue abaixo uma adaptação da lista:
(1) Hardware: CPUs, boards, teclados, terminais, estações de trabalho, computadores pessoais, impressoras, discos, drives, linhas de comunicação, servidores de terminais, roteadores.
(2) Software: programas fonte, programas objeto, utilitários, programas de diagnóstico, sistemas operacionais e programas de comunicação.
(3) Dados: durante execução, armazenados on-line, arquivados off-line, backups, logs de auditoria, bancos de dados e mídia de comunicação.
(4) Pessoas: usuários, administradores e suporte de hardware.
(5) Documentação: programas, hardware, sistemas, local, procedimentos administrativos.
(6) Materiais: papel, formulários, fitas e mídia magnética.
Uma vez que os recursos a serem protegidos forem identificados, é
necessário identificar as ameaças a esses recursos. As ameaças
podem ser examinadas para determinar o potencial de perda existente. Isso
ajuda a considerar de que ameaças você está tentando
proteger seus recursos. Seguem ameaças clássicas
que deveriam ser consideradas. Dependendo de seu local, haverá ameaças
mais específicas que deverão ser identificadas e endereçadas.