Avaliação de configuração de segurança de hosts

A metodologia da Foundstone é criada a partir de diretrizes públicas bem estabelecidas e da experiência dos nossos consultores. A Foundstone desenvolveu ferramentas para automatizar a coleta de dados. Usamos esses scripts para ajudar a identificar erros de configuração de alto risco ou omissões nas versões de servidor da sua empresa. Aproveitando a nossa experiência, testamos o risco total do host, em vez de apenas conferir uma lista de pontos específicos recomendados pelo fornecedor. Por isso, somos capazes de identificar os controles que têm maior necessidade de melhoria para reduzir o risco enfrentado pelo host.

Verificamos minuciosamente a adequação dos controles de segurança em relação às características e funções listadas para diversos sistemas operacionais e dispositivos, inclusive:

• Microsoft Windows 2000 e posterior
• Unix (inclusive Solaris, HP-UX, Linux, Tru64 e AIX) e Novell
• Aplicativos específicos tais como IIS, SQL Server e Apache
• Hosts de roteador e switch

Hosts Microsoft Windows e UNIX
Criamos uma medida de risco que permite a comparação entre diferentes sistemas operacionais e aplicativos. Cada host é comparado com as práticas de segurança da nossa metodologia:

• Gerenciamento e segurança de contas
  • Mecanismos de armazenamento de senhas para restrições adequadas
  • Controles de geração e gerenciamento de senhas
  • Permissões apropriadas para contas de usuários
  • Contas exclusivas para todos os usuários
  • Identificar políticas de contas de domínio ou servidor para regras de senha, restrições de tempo de login, detecção de intrusões e bloqueios
  • Testar a política de senhas usando decodificadores de senhas tais como LOphtcrack ou John the Ripper
• Gerenciamento e segurança de arquivos
  • Permissões corretas para sistemas, aplicativos, dados e arquivos de usuários
  • Os compartilhamentos não expõem dados desnecessários
  • Os compartilhamentos se restringem aos usuários e grupos apropriados
  • A integridade dos arquivos é monitorada (Tripwire, MD5 Checksum e outros)
  • Software antivírus está instalado, atualizado e funcionando
• Nível de patch
  • Existe um ambiente e um procedimento para testar os patches antes que eles sejam instalados nos sistemas de produção
  • Os patches de segurança do sistema operacional foram aplicados
  • Os patches de segurança dos aplicativos foram aplicados
• Segurança de rede
  • Nenhum protocolo desnecessário está ativado
  • Apenas os serviços de negócios estão sendo executados
  • Serviços comuns foram adequadamente protegidos (FTP, HTTP, Sistema de Arquivos de Rede, serviços RPC, X Windows)
  • Firewall de host ou outro mecanismo de controle de acesso à rede está ativado, quando for o caso
  • Segurança do modem segue a política estabelecida
• Log e auditoria
  • Auditoria padrão do sistema operacional foi complementada
  • Existe um backup dos aplicativos configurados para gerar dados e arquivos de log
  • Os logs são avaliados periodicamente em busca de atividades suspeitas
  • Os horários do sistema estão sincronizados com um servidor central
• Gerenciamento geral de segurança
  • Garanta que os aplicativos são executados com conceito de menor privilégio
  • Verifique o potencial de executáveis e scripts de inicialização que possam abrir uma "porta de saída" em virtude de permissões ou execução de baixa segurança
  • Identifique a extensão e o tipo das relações de confiança entre domínios
  • Identifique a extensão e o tipo das relações de confiança entre cada sistema
• Detecção de intrusões anteriores
  • Procure a presença de cavalos de Tróia e backdoors comuns
  • Verifique as permissões de arquivos suspeitos
  • Verifique contas de usuário suspeitas, como contas que não foram auditadas ou que tenham senha em branco ou excesso de direitos
• Controles externos (quando for o caso)
  • Segurança física
  • Estratégia de backup
  • UPS (Fonte de Alimentação de Reserva - "No-Break")
  • Supressão de incêndios
  • Ambiente (alimentação, umidade)

Avaliação de Aplicativos de Host — Servidores de Web e Banco de Dados
A Foundstone também avalia a instalação e a configuração de aplicativos importantes, como o Microsoft IIS e o SQL Server. Esses aplicativos geralmente representam um elevado risco para a rede devido ao seu histórico de vulnerabilidades e conectividade com a Internet. Essas avaliações incluem, além do indicado acima, uma análise de:

• Configuração segura
• Separação de privilégios
• Práticas recomendadas
• Log e auditoria

Avaliação de Hosts de Roteador e Switch
Essas avaliações começam com a metodologia descrita acima para avaliar a configuração do host subjacente. Verificações adicionais são realizados para avaliar a função específica do roteador e do switch. A metodologia é dirigida a conceitos gerais, acompanhando os seguintes pontos detalhados específicos:

• Listas de controle de acesso que restringem o fluxo de pacotes
• Configurações que evitam ou minimizam os ataques de spoofing
• Regras de filtragem que restringem o tráfego destinado ao roteador ou ao firewall
• Verifica os métodos de autenticação de acesso remoto e local, e determina a adequação desses controles
• Determina se a segurança por porta está ativada para eliminar a abrangência não-autorizada, quando for o caso (switches da Cisco)
• Examina os mecanismos de autenticação para atualizações da tabela de roteamento
• Examina rotas, especialmente as estáticas, em busca de problemas de segurança
• Examina a adequação e a segurança das configurações de log
• Garante a instalação de atualizações de software recentes
• Examina os hosts em busca de serviços desnecessários; verifica se a configuração dos serviços conta com os controles de segurança adequados

A metodologia da Foundstone não só indica as áreas específicas que devem ser contempladas para reduzir a exposição de um host a riscos, mas também apresenta recomendações sobre como extrair um parâmetro para a instalação de servidores. Essas recomendações de redução de riscos protegem o sistema contra vulnerabilidades conhecidas e, muitas vezes, elimina a exposição a explorações do dia-zero, que reduzem o alcance de um comprometimento.