Restrinja o acesso físico aos hosts, permitindo acesso somente a aquelas pessoas que devem usá-los. Hosts incluem terminais confiáveis (ou seja, terminais que permitem uso não autenticado tais como consoles do sistema, terminais de operadores e terminais dedicados a tarefas especiais), e microcomputadores e estações de trabalho individuais, especialmente aqueles conectados a sua rede. Certifique-se de que as áreas de trabalho das pessoas se ajusta bem às restrições de acesso; caso contrário elas encontraráo maneiras de evitar sua segurança física (por exemplo portas fechadas abrindo).
Mantenha cópias originais e backup de programas e dados seguras. Além de mantê-los em boas condições para fins de backup, eles devem ser protegidos contra furtos. É importante manter backups em uma localização separada dos originais, não somente em consideração a danos, mas tambem para proteger contra furtos.
Hosts portáteis são um risco particular. Certifique-se que eles não causarão problemas se um computador portátil de seu pessoal for roubado. Considere o desenvolvimento de políticas para as espécies de dados que deveriam ser permitidas residirem em discos de computadores portáteis bem como a maneira pela qual os dados deveriam ser protegidos (por exemplo criptografia) quando estivessem em computadores portáteis.
Outras áreas onde o acesso físico deveria ser restringido são os gabinetes de fiação e elementos importantes de rede como servidores de arquivos, hosts servidores de nomes e roteadores.
Por conexões de rede "walk-up", nos referimos a pontos de conexão localizados a fim de proporcionar uma maneira conveniente para usuários conectarem um host portátil a sua rede.
Considere que você precise fornecer este serviço, tendo em mente que isto permite a qualquer usuário conectar um host não autorizado a sua rede. Isto aumenta o risco de ataques usando técnicas tais como corrupção ("spoofing") de endereços IP, espionagem ("sniffing") de pacotes, etc. A gerência da instalação e os usuários devem estimar os riscos envolvidos. Se você decide fornecer conexões "walk-up", planeje o serviço cuidadosamente e defina precisamente onde você irá fornecê-lo a fim de que você possa assegurar a segurança de acesso físico necessária.
Um host "walk-up" deveria ser autenticado antes que seja permitido ao usuário do mesmo acessar recursos na sua rede. Como uma alternativa, pode ser possível controlar o acesso físico. Por exemplo, se o serviço destina-se a estudantes, você poderia fornecer tomadas de conexão "walk-up" somente nos laboratórios de estudantes.
Se você está fornecendo acesso "walk-up" para visitantes se conectarem de volta a suas redes de origem (por exemplo para ler mail, etc) em sua facilidade, considere o uso de uma sub-rede separada que não tem nenhuma conectividade com a rede interna.
Fique de olho em qualquer área que contem acesso não monitorado à rede, tais como escritórios vazios. Pode ser sensato desconectar tais áreas no gabinete de cabeamento, e considerar o uso de hubs seguros e monitoramento de tentativas de conexão de hosts não autorizados.
Tecnologias consideradas aqui incluem X.25, RDSI, SMDS, DDS e Frame Relay. Todas são fornecidas através de enlaces físicos que passam por centrais telefônicas, fornecendo o potencial para que estes sejam desviados. Os "crackers" estão certamente interessados em comutações telefônicas bem como em redes de dados !
Com tecnologias comutadas, use circuitos virtuais permanentes (PVCs) ou grupos de usuários fechados sempre que possível. Tecnologias que fornecem autenticaçáo e/ou criptografia (tais como IPv6) estão evoluindo rapidamente; considere usá-las nos enlaces onde a segurança é importante.
Ainda que elas forneçam acesso conveniente a um local para todos seus usuários, elas podem também fornecer um desvio efetivo dos firewalls do local. Por esta razão é essencial manter um controle apropriado dos modens.
Não permite aos usuários instalar uma linha de modem sem uma autorização apropriada. Isto inclui as instalações temporárias (por exemplo, pendurar um modem em um aparelho de fax ou uma linha telefônica durante a noite.
Tenha um registro de todas as suas linhas de modem e mantenha-o atualizado. Conduza verificações regulares (idealmente automatizadas) dos modens não autorizados no "site".
A verificação do código de usuário e da senha deveria ser completada antes que o usuário possa ter acesso a qualquer coisa na sua rede. Considerações normais sobre segurança de senhas são particularmente importantes (veja a seção 4.1.1).
Lembre que linhas telefônicas podem ser escutadas clandestinamente, e que é muito fácil interceptar mensagens em telefones celulares. Os modens modernos de alta velocidade usam técnicas de modulação mais sofisticadas que tornam-nos mais difíceis de monitorar, mas é prudente assumir que "hackers" sabem como escutar escondidos suas linhas. Por esta razão, você deveria usar senhas "one-time" sempre que possível.
É de grande utilidade ter um único ponto de entrada para acessos discados (por exemplo um único grande "pool" de modens) para que todos usuários sejam autenticados da mesma forma. Os usuários irão eventualmente digitar incorretamente uma senha. Estabeleça um intervalo curto - digamos de dois segundos - após o primeiro e o segundo "login" falho, e force uma desconexão após o terceiro. Isto irá frear ataques de senha automatizados. Não diga ao usuário se foi o seu código, a senha, ou ambos que estavam errados.
Alguns servidores "dial-in" oferecem facilidades de chamada reversa (ou seja, o usuário disca e é autenticado, então o sistema desconecta a chamada e chama de volta no número especificado). A chamada reversa é útil porque se alguem estava para adivinhar um código e senha de usuário, é desconectado e o sistema chama de volta o usuário real cuja senha foi quebrada; chamadas aleatórias de um servidor são suspeitas, quando muito. Isto significa que os usuários podem se logar somente de um único local (para onde o servidor está configurado para discar de volta), e é claro podem existir despesas associadas com a localização da chamada reversa.
Este recurso deveria ser usado com cuidado; ele pode ser facilmente desviado. No mínimo, certifique-se que a chamada de retorno nunca é feita a partir do mesmo modem que recebeu a chamada de entrada. Em geral, ainda que a chamada reversa possa aumentar a segurança de modems, você não deveria depender exclusivamente dela.
Todos os logins bem-sucedidos ou não deveriam ser registrados no log. Entretanto, não guarde senhas corretas no log. Ao invés registre-as como uma simples tentativa de login bem-sucedida. Já a maioria das senhas são digitas incorretamente por usuários autorizados. Elas variam somente por um único caracter da senha real. Além disso se você não puder manter tal log seguro, não as registre em hipótese alguma.
Se a identificação da linha chamadora está disponível, tome vantagem disso para registrar o número chamador para cada tentativa de login. Seja sensível as questões de privacidade atingidas pela identificação da linha chamadora. Tambem esteja ciente que a identificação da linha chamadora não deve ser considerada confiável (já que intrusos têm sabido como arrombar comutações telefônicas e "rotear" números de telefone ou fazer outras mudanças); use os dados para fins informativos somente, não para autenticaçõo.
Muitos locais usam um "default" do sistema contido em um arquivo de mensagem do dia para seu "banner" de abertura. Infelizmente, isto frequentemente inclui o tipo de hardware e sistema operacional do host. Isto pode fornecer informações valiosas para um possível intruso. Ao invés, cada local deveria criar seu próprio "banner" de login especifico, tomando cuidado para somente incluir as informações necessárias.
Exiba um "banner" curto, mas não ofereça um nome "convidativo" (por exemplo "Universidade XYZ", "Sistema de Registro de Estudantes"). Ao invés, forneça o nome de seu local, uma advertência curta de que as sessões podem ser monitoradas, e um "prompt" de código de usuário e senha. Verifique possíveis questões legais relacionadas ao texto que você põe no "banner".
Para aplicações de alta segurança considere o uso de uma senha "cega" (isto é, não dê nenhuma resposta a uma chamada que chega até que o usuário tenha digitado uma senha). Isto efetivamente simula um modem morto.
Usuários "dial-out" deveriam ser também autenticados, particularmente porque seu local terá de pagar pelas despesas telefônicas.
Jamais permita discagem de saída a partir de uma chamada de entrada não autenticada, e considere se você irá permití-la a paritr de uma autenticada. O objetivo aqui é evitar que chamadores usem seu "pool" de modens como parte de uma cadeia de "logins". Isto pode ser difícil de detectar, em especial se um "hacker" estabelece um caminho através de muitos hosts em seu local.
No mínimo não permita que os mesmos modens e linhas telefônicas sejam usadas para discagem de entrada e de saída. Isto pode ser facilmente implementado se você operar "pools" de modens separados para discagem de entrada e discagem de saída.
Certifique-se de que os modens não podem ser reprogramados enquanto estiverem em serviço. No mínimo, certifique-se que três sinais de mais ("+++") não colocarão seus modens de discagem de entrada em modo de comando !
Programe seus modens para "resetarem" sua configuração padrão no início de cada chamada. Esta precaução protegerá você contra a reprogramação acidental de seus modens. "Resetando-os" tanto no início como no final de cada chamada irá assegurar um nível regularmente alto de confidencialidade que um novo chamador não herdará da sessão do chamador prévio.
Verifique se seus modens encerram chamadas limpamente. Quando um usuário se desloga de um servidor de acesso, verifique se o servidor desliga a linha telefônica adequadamente. É igualmente importante que o servidor force "logouts" sempre que as sessões estiverem ativas e o usuário desliga inesperadamente.