Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
Capítulo 1. Visão Geral da Segurança
Por causa da dependência crescente em poderosas redes de computadores para auxiliar empresas e manter registro de nossas informações pessoais, indústrias inteiras foram formadas em torno da prática das redes e segurança da informática. Organizações têm solicitado o conhecimento e habilidades de profissionais de segurança para propriamente auditar sistemas e criar soluções que se encaixam dentro das necessidades operacionais dessas organizações. Pela razão que a maioria das organizações estão cada vez mais dinâmicas por natureza, seus funcionários acessam recursos de TI da empresa críticos localmente e remotamente, por isso a necessidade de ambientes de computação seguros têm se tornado mais evidente.
Infelizmente, muitas organizações (e também usuários individuais) deixam a segurança em segundo plano, um processo que é esquecido perde-se aumento do poder, produtividade, conveniencia, facilidade de uso e questões de orçamento. Uma implementação de segurança apropriada é muitas vezes colocada em prática tarde demais — depois de uma invasão não autorizada já tiver ocorrido. Tomar medidas apropriadas antes de se conectar a uma rede não confiável, como a Internet é uma meio efetivo de impedir tentativas de intrusão.
Nota
Este documento faz diversas referências à arquivos no diretório
/lib. Se estiver usando os sistemas 64 bits, alguns dos arquivos mencionados podem estar localizados no /lib64.
1.1. Introdução à Segurança
1.1.1. O que é Segurança de Computadores?
Segurança de computadores é um termo geral que cobre uma grande área da informática e processamento da informação. Indústrias que dependem dos sistemas de computadores e redes para conduzir diariamente negociações e acessar informações críticas, consideram seus dados como uma importante parte de seus bens gerais. Diversos termos e métricas entraram em nosso vocabulário de negócios, tais como o custo total da posse (TCO - Total Cost of Ownership), retorno sobre investimento (ROI - Return on Investment), e qualidade de serviço (QoS - Quality of Service). Usando estas métricas, indústrias podem calcular aspectos como a integridade dos dados e alta disponibilidade (HA - High-Availability) como parte de seus planos e custos do gerenciamento de processos. Em algumas indústrias, como a de comércio eletrônico, a disponibilidade e confiabilidade dos dados podem significar a diferença entre sucesso e fracasso.
1.1.1.1. Como a Segurança de Computadores começou?
A segurança da informação tem evoluído ao longo dos anos devido à crescente dependência em redes públicas para não expor informações pessoais, financeiras e outras informações restritas. Existem muitas ocorrências tais como os casos Mitnick [1] e Vladimir Levin [2] que fizeram com que organizações de todas as áreas repensassem a maneira que lidam com a informação, incluindo sua transmissão e exposição. A popularidade da internet foi um dos mais importantes desenvolvimentos que levou a um esforço intensificado da segurança dos dados.
Um número crescente de pessoas estão usando seus computadores pessoais para obter acesso aos recursos que a internet oferece. Da pesquisa e obtenção de informação ao correio eletrônico e transações comerciais, a internet tem sido considerada um dos mais importantes desenvolvimentos do século 20.
A internet e seus primeiros protocolos, entretanto, foram desenvolvidos como um sistema baseado em confiança. Ou seja, o Protocolo de Internet (IP) não foi desenvolvido para ser propriamente seguro. Não existem padrões de segurança aprovados construídos na pilha de comunicações TCP/IP, deixando-o aberto para usuários potencialmente maliciosos e processos na rede. Desenvolvimentos modernos têm feito a comunicação na internet mais segura, mas ainda existem diversos incidentes que ganham atenção nacional e nos alertam para o fato de que nada é completamente seguro.
1.1.1.2. A Segurança Hoje
Em fevereiro de 2000, um ataque de negação de serviço (DDoS) foi feito em vários dos principais sites de alto tráfego na internet. O ataque fez que sites como yahoo.com, cnn.com, amazon.com, fbi.gov entre outros ficassem completamente fora de alcance dos usuários normais, já que o ataque afetou roteadores por várias horas com enormes pacotes de dados ICMP, também conhecidos como ping flood. O ataque foi feito por invasores desconhecidos usando programas especialmente criados e totalmente disponíveis que escanearam servidores de rede vulneráveis e instalaram aplicativos clientes chamados Trojans nesses servidores e agendaram um ataque inundando os sites vítimas e os tornando indisponíveis. Muitos culparam esse ataque devido à deficiências fundamentais na maneira que roteadores e os protocolos usados são estruturados para aceitar todo o tráfego dos dados, sem importar de onde ou qual o propósito dos pacotes são enviados.
Em 2007, uma violação de dados explorando as fraquezas amplamente conhecidas do WEP (Wired Equivalent Privacy), protocolo de encriptação sem fio, resultou no roubo de mais de 45 milhões de números de cartão de crédito de uma instituição financeira global.[3]
Em um incidente separado, os registros de pagamentos de mais de 2.2 milhões de pacientes armazenados em uma fita de backup foram roubados do banco dianteiro de um carro de entregas [4]
Atualmente, estima-se que 1.4 bilhões de pessoas usam ou usaram a internet no mundo todo. [5] Ao mesmo tempo:
- Em qualquer dia, existem aproximadamente 225 importantes incidências de brecha de segurança reportadas ao CERT Coordination Center at Carnegie Mellon University.[6]
- O número de incidentes reportados no CERT pulou de 52,658 em 2001, 82,094 em 2002 e para 137,529 em 2003.[7]
- De acordo com o FBI, crimes relacionados à computadores custou às empresas americanas $67.2 bilhões de dólares em 2006.[8]
De uma pesquisa global feita em 2009 sobre segurança e profissionais da tecnologia da informação, "Porque a Segurança Importa Agora"[9], conduzida pela CIO Magazine, alguns resultados interessantes são:\n\t\n
- Apenas 23% dos que responderam possuem políticas para o uso das tecnologias de Web 2.0. Estas tecnologias, como Twitter, Facebook e LinkedIn podem oferecer uma maneira conveniente para empresas e individuais se comunicarem e colaborar, entretanto elas abrem novas vulnerabilidades, primariamente o vazamento de dados confidenciais.
- Mesmo durante a recente crise financeira de 2009, a pesquisa constatou que os orçamentos com segurança estavam no mesmo nível ou em crescimento em relação aos anos anteriores (aproximadamente 2 de cada 3 participantes esperam aumentar ou manter o mesmo nível). Isto é uma boa notícia e reflete a importância que organizações estão dando na segurança da informação hoje.
Estes resultados reforçam a realidade que segurança de computadores se tornou um gasto quantificável e justificável nos orçamentos de TI. Organizações que requerem integridade dos dados e alta disponibilidade evocam as habilidades dos administradores de sistemas, desenvolvedores e engenheiros para garantir uma confiança de seus sistemas, serviços e informações 24x7. Ser vítima de usuários maliciosos, processos ou ataques coordenados é uma ameaça direta ao sucesso da organização.
Infelizmente, a segurança da rede e de sistemas podem ser uma proposta difícil, exigindo um conhecimento complexo de como a empresa encara, usa, manipula e transmite suas informações. Compreender a forma como uma organização (e as pessoas que compõem a organização) conduz os negócios é fundamental para implementação de um plano de segurança apropriado.
1.1.1.3. Padronização da Segurança
Empresas de todas as áreas confiam em regulamentos e regras que são definidas por entidades de padronização como a American Medical Association (AMA) ou o Institute of Electrical and Electronics Engineers (IEEE). Os mesmos ideais são verdadeiros para a segurança da informação. Muitos consultores de segurança e fornecedores concordam com um modelo de padronização da segurança conhecido como CIA, ou Confidentiality, Integrity, and Availability. Este modelo de três camadas é um componente geralmente aceito para avaliar riscos de informações sensíveis e estabelecer política de segurança. O seguinte descreve o modelo CIA em maiores detalhes:
- Confidencialidade — Informações sensíveis devem estar disponíveis somente para um conjunto de indivíduos pré definidos. Transmissão não autorizada e uso da informação devem ser restritos. Por exemplo, a confidencialidade da informação garante que uma informação pessoal ou financeira não seja obtida por um indivíduo não autorizado para propósitos maliciosos tais como roubo de identidade ou fraude de crédito.
- Integridade — As informações não devem ser alteradas de modo a torna-las incompletas ou incorretas. Usuários não autorizados devem ser restritos da possibilidade de modificar ou destruir informações sensíveis.
- Disponibilidade — As informações devem ser acessíveis a usuários autorizados em qualquer momento que seja necessário. Disponibilidade é uma garantia que a informação pode ser obtida com acordos de frequência e pontualidade. Isto é frequentemente medido em termos de porcentagens e definido formalmente em Acordos de Nível de Serviço (SLAs) usados por provedores de serviços de redes e seus clientes corporativos.
1.1.2. SELinux
O Red Hat Enterprise Linux inclui uma melhoria ao kernel do Linux chamado SELinux, que implementa uma arquitetura de Controle de Acesso Obrigatório (MAC - Mandatory Access Control) que fornece um nível de controle refinado sobre arquivos, processos, usuários e aplicações no sistema. Uma discussão detalhada sobre o SELinux está além do objetivo deste documento; entretanto, para mais informações sobre o SELinux e seu uso no Red Hat Enterprise Linux, consulte o Guia do Usuário SELinux do Red Hat Enterprise Linux. Para mais informações sobre configurar e rodar serviços que são protegidos pelo SELinux, consulte o Guia do SELinux Gerenciando Serviços Confinados. Outros recursos disponíveis para o SELinux estão listados no Capítulo 8, Referências.
1.1.3. Controles de Segurança
A segurança de computadores é frequentemente dividida em três categorias principais distintas, comumente referidas como controles:
- Físico
- Técnico
- Administrativo
Estas três categorias amplas definem os objetivos principais de uma implementação de segurança apropriada. Dentro destes controles estão sub categorias que detalham mais os controles e como implementa-las.
1.1.3.1. Controles Físicos
Controle Físico é a implementação de medidas de segurança em uma estrutura definida usada para deter ou previnir acesso não autorizado à material sensível. Exemplos de controles físicos são:
- Cameras de vigilância de circuito interno
- Sistemas de alarmes térmicos ou de movimento
- Guardas de Segurança
- IDs com fotos
- Portas de aço bloqueadas com parafusos sem cabeça
- Biometria (inclui impressão digital, voz, rosto, íris, manuscrito e outros métodos automatizados usados para reconhecer indivíduos)
1.1.3.2. Controles Técnicos
Controles técnicos usam técnologia como uma base para controlar o acesso e uso de dados sensíveis através de uma estrutura física e sobre uma rede. Controles técnicos são de alcance abrangente e incluem tecnologias como:
- Criptografia
- Cartões Smart
- Autenticação de rede
- Listas de Controle de Acesso (ACLs)
- Software de auditoria de integridade de arquivos
1.1.3.3. Controles Administrativos
Controles administrativos definem os fatores humanos de segurança. Eles envolvem todos o níveis de pessoas dentro de uma organização e determinam quais usuários possuem acesso a quais recursos e informações por tais meios como:
- Treinamento e conscientização
- Prevenção de desastres e planos de recuperação
- Estratégias de recrutamento de pessoal e de separação
- Registro de pessoal e de contabilidade
1.1.4. Conclusão
Agora que você aprendeu sobre as origens, motivos e aspectos da segurança, você achará mais fácil de determinar o plano de ação apropriado ao Red Hat Enterprise Linux. É importante saber quais fatores e condições compoem a segurança a fim de planejar e implementar uma estratégia apropriada. Com esta informação em mente, o processo pode ser formalizado e o caminho se torna mais claro à medida que você se aprofunda nos detalhes do processo de segurança.
[1]
http://law.jrank.org/pages/3791/Kevin-Mitnick-Case-1999.html
[2]
http://www.livinginternet.com/i/ia_hackers_levin.htm
[3]
http://www.theregister.co.uk/2007/05/04/txj_nonfeasance/
[4]
http://www.fudzilla.com/content/view/7847/1/
[5]
http://www.internetworldstats.com/stats.htm
[6]
http://www.cert.org
[7]
http://www.cert.org/stats/cert_stats.html
[8]
http://news.cnet.com/Computer-crime-costs-67-billion,-FBI-says/2100-7349_3-6028946.html
[9]
http://www.cio.com/article/504837/Why_Security_Matters_Now
