Conforme o próprio artigo se auto intitula, sua
intenção é reunir um conjunto de boas práticas em configuração, administração e
operação segura de redes conectadas à Internet, minimizando assim as chances de
ocorrerem problemas de segurança. A implantação destas pratica minimiza as
chances de ocorrerem problemas de segurança e facilita a administração das
redes e recursos de forma segura.
É importante frisar que este conjunto representa o mínimo
indispensável dentro de um grande universo de boas práticas de segurança, o que
equivale a dizer que a sua adoção e um bom começo, mas não necessariamente e
suficiente em todas as situações.
Para definir esta obra, de leitura recomendada a
todo administrador de rede de computadores, não há palavras melhores do que a
própria descrição dada pela instituição que o mantém:
Este documento procura reunir um conjunto de boas
práticas em configuração, administração e operação segura de redes conectadas à
Internet. A implantação destas práticas minimiza as chances de ocorrerem
problemas de segurança e facilita a administração das redes e recursos de forma
segura.
As recomendações apresentadas são eminentemente
práticas e, tanto quanto possível, independentes de plataforma de software e
hardware. A maioria dos princípios expostos é genérica; a sua efetiva aplicação
requer que um administrador determine como estes princípios podem ser
implementados nas plataformas que ele utiliza.
Este documento é dirigido ao pessoal técnico de
redes conectadas à Internet, especialmente aos administradores de redes,
sistemas e/ou segurança, que são os responsáveis pelo planejamento,
implementação ou operação de redes e sistemas. Também podem se beneficiar da
sua leitura outras pessoas com conhecimento técnico de redes.
Como se lê tal documento não parte do princípio que
o leitor está usando o sistema A ou o sistema B, deixando-o a vontade a ler e
aplicar suas sugestões conforme a necessidade e de acordo com a plataforma a
qual o mesmo usa em seu cotidiano.
Nota-se ainda que embora este trabalho tenha sido
escrito visando a equipe técnica de redes o mesmo ainda poderá ser de grande
serventia para outras pessoas que embora não estejam especificadas deduz-se que
ai estejam incluídos docentes e discentes de cursos técnicos, graduação e
pós-graduação em áreas afins,bem como quaisquer outras pessoas interessadas no
assunto.
Embora o documento não esteja disponível sob uma
licença dita livre, tal como, GNU FDL[2],Creative Commons[3] ou outra. Conforme
o autor registrou no tópico de número 1.3 o arquivo pode ser livremente
copiado, distribuído e utilizado para qualquer fim, desde que não seja
comercializado, nem modificado.
Um checklist do documento também está disponível nos
mesmos formatos de arquivo para leitura online e download, onde se pode ter um
breve resumo sobre cada um dos seus 3 principais capítulos e respectivos
tópicos abordados em cada um deles. Os citados capítulos abordam
respectivamente os temas a seguir:
·
Criação de uma política de segurança
Neste tópico os autores abordam a criação deste
documento tão fundamental e tão pouco cuidado e que ultimamente tem se tornado
rotineiro, ouvir falar sobre, já que as boas práticas recomendadas pelas normas
NBR ISO/IEC 17799, NBR ISO/IEC 27001, ITIL, COBiT entre outras, recomendam
fortemente a necessidade deste tio de documento.
·
Dicas para instalação e configuração
segura de sistemas
Neste capítulo estão informações sobre como o
administrador deveria preparar a instalação de um novo sistema no seu servidor,
estratégias de particionamento, como realizar a documentação da instalação e da
configuração de determinado software, os cuidados com a senha administrativa,
recomendações sobre a instalação mínima seguida da desativação de serviços que
não serão utilizados, instalação de correções e atualizações de segurança e
prevenção de abusos na utilização de recursos como os fornecidos por servidores
SMTP e PROXY.
·
Administração e operação segura de
sistemas
Neste capítulo, que é o maior disponível neste
documento, é abordado desde a a educação dos usuários até recomendações sobre
redes sem fio, passando por LOGs, DNS, WHOIS, criptografia e uma boa gama de
serviços que fazem parte do dia-a-dia do administrador de redes de
computadores.
Embora haja uma seção própria para tratar de questões
relacionadas a disciplina do usuário, esta seção está longe de esgotar o
assunto, ou mesmo de ser útil para um usuário comum de computadores. Para este
fim há uma cartilha própria do CERT.BR disponível em [4] com dicas e sugestões
para pessoas sem muito conhecimento técnico. No citado endereço há inclusive
alguns vídeo tutoriais que podem ser utilizados até mesmo em salas de aula e em
campanhas educativas.
Dentre as seções encontramos aquela destinada à
recomendações sobre servidores de tempo (NTP) e zonas de tempo;importância da
necessidade de se manter um canal eficiente de comunicação entre os membros da
equipe técnica, necessidade de se manter controle sobre alterações na
configuração de um sistema, o cuidado com o uso de contas privilegiadas (tal como
o root no Linux ou o Administrador no Windows), cuidados com os logs de
auditoria, cuidados com a configuração de um servidor DNS, a necessidade de se
manter os dados de contato atualizados, o cuidado com uso de protocolos
não-criptografados, endereços reservados, políticas de backup, a importância de
se manter atualizado e informado, precauções com engenharia social, firewall e
redes wireless.
O artigo é uma obra de simples leitura, facilmente
navegável, permitindo ao leitor realizar uma leitura seqüencial – do seu início
ao fim –, ou mesmo por partes – começando pelo tópico que mais o interessar, no
momento.
O fato de estar sendo distribuído nos formatos HTML
e PDF permitem que um grande número de pessoas possa fazer sua leitura já que
estes formatos são considerados padrão de mercado e de indústria (o primeiro,
pelo W3C[5] (World Wide Web Consortium) e o segundo uma padronização isso sob a
identificação ISO32000-1:2008[6]) e portanto pode ser lido praticamente em
qualquer plataforma atual, desde um robusto PC, Mac até um pequeno telefone
celular ou smartphone.
O conteúdo do material é bem claro e e embora sua
última revisão seja datada em 2003, o seu conteúdo está bem atual, já que o
mesmo não cita ferramentas e suas versões, mas conceitos que devem estar
presentes em qualquer sistema, plataforma ou estrutura que se venha a
gerenciar.
Apesar disso ainda há recomendações que poderiam ser
atualizadas, sendo recomendável certa atenção do leitor com relação a isso. Por
exemplo, no item 4.3.2 (Controle de Alterações na Configuração) os autores
recomendam o uso do RCS[7] ou do CVS[8], que segundo alguns grupos de usuários
e desenvolvedores de projetos FOSS (Free and Open Source Software) são bastante
antigos e limitados. Tanto que muitos deles migraram seus sistemas de version
amento para ferramentas mais modernas tais como o Git[9] usado pelo grupo de
desenvolvedores da linguagem Ruby on Rails[10] e pelo projeto de
desenvolvimento do Kernel Linux[11], o projeto X.org[12] entre inúmeros outros.
O item 4.13 também é outro que precisa de
atualização, já que ele aborda o conceito de redes sem fio e no período de 2003.
Até a presente data o protocolo 802.11 recebeu diversas modificações que o
texto cita vagamente como o protocolo de segurança WPA que é uma evolução do
WEP e por isso mais seguro que aquele primeiro [13, 14 e 15] e em alguns casos
não cita outros recursos, tal com o WPA2[15] que deveria ser utilizado o quanto
antes nas atuais redes desta modalidade, já que a versão WPA teve sua confiabilidade
violada.
A obra ainda conta com uma lista de cerca de vinte
referências de consulta para orientar aqueles que precisarem de maiores
informações, seja sobre o assunto de forma genérica, ou especificamente para
algumas plataformas e sistemas.
Para finalizar há ainda um índice remissivo, em suas
últimas páginas, que agiliza a localização de temas para leituras pontuais,
caso o leitor opte por imprimir todo o material para referência futura e
leitura off-line.
O artigo é de leitura fácil e bastante
esclarecedora, não somente para os iniciantes na área de administração de
redes, mas também para aqueles já experientes e que eventualmente possam
precisar relembrar alguns conceitos básicos de boas práticas.
Para todos os efeitos, esta é uma iniciativa
plausível, mas é notória a necessidade de atualização em alguns tópicos do
texto, visto que a sua última edição em 2003 já pode ser considerada
suficientemente defasado em alguns tópicos, como já comentado. Por ser distribuído
por uma das entidades de maior peso na Internet brasileira algum administrador
desatento poderia segui-lo fielmente sem considerar as necessidades de
atualização, o que poderia causar problemas de insegurança em uma rede
corporativa.
[1] CERT.Br. Cartilha de Segurança para Internet.
Jul. 2007. Disponível em: <http://cartilha.cert.br/>. Acessado em
07/Mar/2013.
[2] CERT.BR. CERT.br – Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurança no Brasil – Missão. Jan. 2008.
Disponível em: <http://www.cert.br/missao.html>. Acessado em 07/Mar/2013.
[3] Free Software Foundation. GNU
Free Documentation License – Version 1.3. Jan. 2009.
Disponível em: <http://www.gnu.org/licenses/fdl.html> Acessado em
07/Mar/2013.