Este documento discute a segurança física de servidores e redes, enfatizando a importância de proteger o hardware e as instalações. Ele fornece recomendações sobre como organizar servidores e redes, implementar normas de acesso, proteger cabos e equipamentos, usar alarmes e câmeras de vigilância, e se proteger contra técnicas de invasão física e engenharia social.
1. Segurança Física de
Servidores e Redes
Sandro Eduardo Moreira
Luís Miguel Silva
Elaborada para NINF – Universidade da Beira Interior
Y2k+3
2. Nota Introdutória
Num universo de informação que corre
incessantemente, por vezes são gastos
milhares de Euros em sistemas informáticos,
nomeadamente servidores, firewalls e
software de segurança, ficando esquecido
um grande capítulo na área da segurança
informática: o espaço físico e as normas de
acesso.
3. Tópicos Gerais
Falhas comuns em “Data Centers” e redes
Métodos de implementação
Normas de acesso a instalações
Cuidados a ter em bastidores e cablagem
Técnicas de invasão físicas de instalações
Engenharia Social
4. Questões introdutórias
De que vale possuir o ultimo grito em protecções de
sistemas operativos e software de monitorização se
um empregado mal intencionado pode
simplesmente retirar o HD do servidor e levar o
mesmo para fora das instalações do seu local de
trabalho?
Qual é o proveito de possuir backup´s da
informação dos servidores se a mesma não é
devidamente armazenada, ficando desde modo
expostas a qualquer utilizador mal intencionado?
5. Objectivo
Estas são questões pertinentes e que cada
vez mais possuem um cariz fundamental no
âmbito da segurança informática e que
qualquer administrador de sistemas e redes
não pode levar de ânimo leve. Neste
seminário iremos rever algumas das
características essenciais para um sistema
seguro e repensar um pouco as normas de
segurança a aplicar.
7. Falhas comuns em “DC´s” e Redes
Colocação dos servidores
Topologia da rede
Acessos a servidores
Falta de Hardware Lock´s
Alarmes e Circuitos Internos de TV
Armazenamento de Backup´s
Manutenção de Bastidores
8. Colocação de Servidores
Os servidores devem ser mantidos numa sala separada do restante
material informático e demais instalações adjacentes.
Esta sala deverá apenas servir este propósito. Albergar servidores
e bastidores.
Esta deverá possuí extintores de Gás Cabórnico (CO2)
Cofre resistente a fogo e embutido na parede
Mobiliário em metal e construído especificamente para o efeito
A porta da sala deverá ser em metal e nunca em vidro
Seguem-se alguns dos cuidados a ter com os servidores...
9. Cuidados a ter com servidores
Bios Password
Boot Password
Desactivar Floppy / CD-Rom boot
Caixa sempre fechada e lacrada ( No caso de
servidores com HotSwap e acesso frontal a HD
´s, manter o mesmo devidamente trancado )
Bastidores devidamente fechados e trancados
Guardar as respectivas Boot Disks no cofre
12. Topologia da Rede
Colocação de Pontos de Acesso de Rede
Falta de restrição e de normas de acesso
Acesso a HUB´s e Switche´s
Falta de encriptação
Cablagem mal colocada
14. Acesso a instalações
Normas gerais:
Acesso restringido a todos os utilizadores
Material etiquetado e contabilizado
Controlo humano de entradas e saídas
Controlo de entrada/saída de material do edifício
Tarefas “vigiadas”
Códigos de Acesso
16. Bastidores e Cablagem
É frequente e tornou-se típico em Portugal, a máxima
“Quanto mais desarrumado, melhor”
Basta vermos o nosso Gigapix para constatar tal facto.
18. Bastidores e Cablagem
Organizar e separar redes por cores
Etiquetar respectivos pontos de acesso e
réguas
Desenhar a topologia da rede, tendo em
contas as características dos edifícios
Montar cabos blindados e respectivas
tubagens
22. Alarmes e TV
Alarmes – Características Gerais:
Sensores de movimento
Temporizadores
Botão de Pânico
Controlo de temperatura
2 Sirenes
Ligação a uma central de alarmes
23. Alarmes e TV
Sistema de câmaras wireless
Ponto central fora da sala de servidores
Gravações 24/24h
Gravações devem ser guardadas em local
seguro e mantidas durante 30 dias
25. Técnicas de Invasão Físicas
Remoção de material não autorizado
(Roubo)
Arrombamento
Acesso ilegítimo a pontos de rede
Método da “espera”
Engenharia Social
27. Engenharia Social
Engenharia Social é o termo utilizado para a obtenção de
informações importantes de uma empresa ou particular, através
de utilizadores e/ou colaboradores. Essas informações podem
ser obtidas pela ingenuidade ou confiança. Os ataques desta
natureza podem ser realizados através de telefonemas, envio de
mensagens por correio eletrónico, IRC e até mesmo
pessoalmente.
Já foram identificados casos em que alguém se faz passar por
um funcionário do suporte técnico de um ISP, e telefonou para
um utilizador informando-o que a conexão estava com algum
tipo de problema e que para consertar a avaria necessitava da
sua password de acesso.
28. Engenharia Social
Kevin Mitnick
Engenharia Social é uma das técnicas utilizadas por “hackers”
para obter informações. É a técnica mais simples, pois basta ter
uma boa conversa para conseguir enganar a pessoa que possui
a informação que se necessita.
Alguns casos famosos de engenharia social estão ligados ao
“hacker” americano Kevin Mitnick.
Um caso muito interessante foi quando Mitnick precisa de
informações de uma empresa para depois poder “entrar”,
Mitnick elaborou um CD com um versão do software que era
utilizado naquela empresa contendo no mesmo um “trojan”,
vestiu uma roupa de carteiro e levou o CD até a empresa como
se fosse uma actualização do software. Porém, não resultou,
pois a empresa nem chegou a abrir o pacote.
29. Engenharia Social
Modos de protecção e prevenção
Alertar os funcionários para este factor
Não enviar dados ou passwords de acesso a
terceiros, sem confirmação da identidade e
veracidade do requisitante
Verificar acessos a instalações e guardar registos
dos mesmos.
30. Em suma...
O computador mais seguro do mundo teria
de estar num cofre, desligado, no fundo do
oceano... Guardado por tubarões, exércitos e
porta-aviões... E mesmo assim seria possível
convencer alguém que o estivesse a guardar
para o ir ligar....
Have Fun... BOMB SADDAM!