You are on page 1of 23

TECAD – Soluções CAD e Projecto Colaborativo Rua Sidónio Muralha, 5 - Loja A Vale Mourão 2635-477 Rio de Mouro

Tel: 21 919 92 30 Fax: 21 919 92 39 Email: tecad@tecad.pt Web site: http://www.tecad.pt

EXEMPLO AUDITORIA DE SEGURANÇA

TECAD SISTEMAS INFORMATICOS
©COPYRIGHT, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios

TECAD SI – Auditoria de Segurança

2

INDICE 1. Controlo do documento 1.1 Aprovação e controlo de alterações .......................................................... 1.2 Alterações a versões anteriores ............................................................... 1.3 Condições de revisão ............................................................................. 1.4 Documentos relacionados ....................................................................... 1.5 Reprodução e garantias .......................................................................... 1.6 Confidencialidade .................................................................................. 2. Objectivos ..................................................................................................... 3. Responsáveis da segurança .......................................................................... 4. Documentos de implementação da segurança ............................................... 5. Sistemas de detecção e apoio a variáveis ambientais .................................... 6. Actividades de reforço à segurança ............................................................... 7. Controlo de acessos 7.1 Acesso físico ……………………………………………………………………………………………………… 7.2 Acesso lógico 7.2.1 7.2.2 7.2.3 Equipamentos servidores ………………………………………………………………. Equipamentos de comunicação ……………………………………………………… Estações de trabalho ………………………………………………………………………. 7 7 7 8 8 8 8 8 9 9 9 7 3 3 3 3 3 3 4 6 6 6 6

8. Identificação de SPF (Single Point of Failure) 8.1 Geral …………………………………………………………………………………………………………………. 8.2 Equipamentos servidores …………………………………………………………………………………… 8.3 Equipamentos de comunicações ……………………………………………………………………….. 8.4 Estações de trabalho …………………………………………………………………………………………. 9. Cópias de Segurança - Backups ..................................................................... 10. Sistema Antivírus .......................................................................................... 11. Actualizações ................................................................................................ 12. Outras observações .......................................................................................

13. Conclusão ...................................................................................................... 10 Anexo A – Scan de vulnerabilidades .................................................................... 11

www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda

tecad@tecad.pt
Interdita a reprodução de textos e imagens por quaisquer meios

5 Reprodução e garantias Este documento não deverá ser copiado no seu todo ou em parte. Lda tecad@tecad.3 Condições de revisão Não existem condições de revisão do documento.TECAD SI – Auditoria de Segurança 3 1.0 Data Comentários Primeira versão do documento Autor Pedro Azevedo 1. este documento assume um estatuto de confidencialidade não devendo ser distribuído nem apresentado a pessoas externas à empresa. TECAD-Sistemas Informáticos. 1. Por esta razão.6 Confidencialidade Este documento contém informações detalhadas acerca da rede e sistemas informáticos da Exemplo.4 Documentos relacionados Título Versão Data - Documento - 1.2 Alterações a versões anteriores Versão 1.tecad. ou distribuído a terceiras partes sem prévia autorização por escrito da TECAD SI. Utilizadores internos com acesso autorizado a este documento: Nome Nome de utilizador Data de autorização www. 1.pt Interdita a reprodução de textos e imagens por quaisquer meios .1 Aprovação e controlo de alterações Revisto por Pedro Azevedo Data de Aprovação Autor Pedro Azevedo 1. Controlo do documento 1.pt COPYRIGHT 2007.

TECAD-Sistemas Informáticos. O primeiro destes dois itens. será feito do modo mais objectivo possível através dos seguintes pontos previamente definidos: • • • • • • • • • Responsáveis da segurança Documentos de implementação da segurança Sistemas de detecção e apoio a variáveis ambientais Actividades de reforço à segurança Controlo de acessos Identificação de SPF (Single Point of Failure) Cópias de Segurança . que permitam manter um sistema com disponibilidade efectiva e segurança o mais perto possível dos 100%. a recolha da informação e a conclusão.tecad.Backup Sistema Antivírus Actualizações www. tornando o seu sucesso dependente das suas infra-estruturas tecnológicas. Actualmente as empresas conseguem perceber as inegáveis vantagens estratégicas dos sistemas informáticos. são tidos em conta. torna-se necessário implementar políticas e processos. Novas ameaças surgem e não só factores internos e controláveis. como o ciclo de vida natural da máquina. Há que quantificar o custo de ter um mau funcionamento num sistema tão fulcral como este. Torna-se então fundamental perceber o valor destes sistemas. Pretende-se com o presente relatório. Chegando a uma conclusão inequívoca do valor dos sistemas informáticos. Actualmente deparamo-nos com ameaças externas e internas perpetuadas por indivíduos na busca de acesso a informação sensível. documentar e clarificar o estado actual de segurança dos sistemas informáticos da empresa Exemplo.TECAD SI – Auditoria de Segurança 4 2. a recolha de informação. A análise irá ser efectuada em duas fases distintas. sem poder usar o email ou qualquer outra ferramenta online? A segurança informática ganha notoriedade na actualidade.pt Interdita a reprodução de textos e imagens por quaisquer meios . Objectivos A percepção da realidade no mundo da informática mudou. Enquanto no passado havia o luxo da reactividade hoje exige-se cada vez mais a proactividade. Lda tecad@tecad. quer pela sua rentabilidade quer pelo simples prazer de a conseguir alcançar. Quanto custa o tempo de inactividade de um servidor? E quanto custa estar um dia sem acesso à internet.pt COPYRIGHT 2007.

TECAD SI – Auditoria de Segurança 5 Estes itens serão documentados e classificados através dum sistema de três cores (verde. será efectuada a análise de toda a informação recolhida. sendo atribuído um nível de segurança geral a toda a rede. ou que pretendam um nível de segurança máximo.pt Interdita a reprodução de textos e imagens por quaisquer meios . e aborda os itens que com mais frequência representam falhas de segurança neste segmento de mercado. TECAD-Sistemas Informáticos. Deve ficar claro que empresas de maior dimensão.tecad. Lda tecad@tecad. Esta auditoria foi concebida especificamente para o mercado das micro e pequenas empresas. deverão requisitar uma auditoria mais elaborada à TECAD SI. laranja e vermelho). Em conclusão. representativas do nível de risco associado ao estado do item em questão: Nível de Segurança Elevado Recomendação: Manutenção do sistema existente Nível de Segurança Médio Recomendação: Alterações ao sistema existente Nível de Segurança Reduzido Recomendação: Implementação de sistema A segunda etapa da recolha de dados passa pela realização de scan de vulnerabilidades a toda a rede (anexos).pt COPYRIGHT 2007. www.

Documentos de implementação da segurança Plano Global de Segurança Política de Segurança Plano de Recuperação de Desastres Manual de Rede Nível médio de segurança Não Não Não Sim mas desactualizado Reduzido 5. Sistemas de detecção e apoio a variáveis ambientais Detecção de fumos Sistemas de extinção de incêndios Existência de protecção a picos de corrente Sistema de redundância energética Controlo de temperatura Controlo de humidade Nível médio de segurança Não Não Sim Sim Apenas no datacenter Não Médio 6. TECAD-Sistemas Informáticos. Responsáveis da segurança Responsável Primário Responsável Secundário Nível médio de segurança Apolinário Silva Não Médio 4.tecad. Lda tecad@tecad.TECAD SI – Auditoria de Segurança 6 3.pt Interdita a reprodução de textos e imagens por quaisquer meios . Actividades de reforço à segurança Auditorias de segurança periódicas Formação inicial de utilizadores Formação contínua de utilizadores Formação contínua dos responsáveis pela segurança Nível médio de segurança Não Sim Não Sim Médio www.pt COPYRIGHT 2007.

) Médio www.TECAD SI – Auditoria de Segurança 7 7.1 Acesso físico Não Datacenter com porta aberta Em bastidor aberto Datacenter com porta aberta Em bastidor aberto Não Não Não Médio Monitorização de entradas e saídas por circuito interno de TV Equipamentos de comunicação em zonas de acesso reservado Equipamentos de comunicação em bastidor fechado Equipamentos servidores em zonas de acesso reservado Equipamentos servidores em bastidor fechado Controlo de acessos a áreas por métodos seguros Alarme de perímetro Suportes com informação sensível guardados em cofres ignífugos Nível médio de segurança 7.2 7.) Médio Alteração do nome da conta de administração Desactivação da conta de convidado Intervalo para alteração de passwords Complexidade da password Nível médio de segurança 7.2 Equipamentos de comunicação Alteração de valores predefinidos Intervalo para alteração de passwords Complexidade da password Nível médio de segurança Sim Não definido Alfanumérica (8 caract.2. Controlo de acessos 7.pt COPYRIGHT 2007. TECAD-Sistemas Informáticos.pt Interdita a reprodução de textos e imagens por quaisquer meios .1 Acesso lógico Equipamentos servidores Sim Sim Não definido Números e caracteres especiais (10 caract.2. Lda tecad@tecad.tecad.

8.1 Identificação de SPF (Single Point of Failure) Geral Sim Elevado Redundância energética Nível médio de segurança 8.3 Estações de trabalho Estações de trabalho sem password Estações de trabalho sem password Baixo Intervalo para alteração de passwords Complexidade da password Nível médio de segurança 8.TECAD SI – Auditoria de Segurança 8 7. TECAD-Sistemas Informáticos.pt COPYRIGHT 2007. Cópias de Segurança .2. Lda tecad@tecad.4 Estações de trabalho Existência de pelo menos uma estação de trabalho de reserva Nível médio de segurança Sim Elevado 9.3 Apenas no KDADOS Apenas no KDADOS Sim Não Médio Equipamentos de comunicações Não Não Reduzido Existência de equipamento de reserva Linha de backup Nível médio de segurança 8.tecad.pt Interdita a reprodução de textos e imagens por quaisquer meios .2 Equipamentos servidores Redundância de fontes de alimentação Redundância de discos rígidos Mínimo de dois DC por domínio Realização de backups em duplicado Nível médio de segurança 8.Backups Periodicidade do backup Backups efectuados em duplicado Deslocalização do backup Suporte guardado em cofre ingnífugo Nível médio de segurança Semanal Não Não Não Reduzido www.

tecad. TECAD-Sistemas Informáticos.manual Não definido . Outras observações Telnet do router acessível a partir do exterior Nível médio de segurança Baixo www.TECAD SI – Auditoria de Segurança 9 10.pt Interdita a reprodução de textos e imagens por quaisquer meios . Lda tecad@tecad.pt COPYRIGHT 2007. Sistema Antivírus Sistema antivírus implementado Sistema de gestão central Cobertura total da rede Política de scans periódicos a estações de trabalho Política de scans periódicos a equipamentos servidores Realtime protection Nível médio de segurança Sim Sim Sim Sim (21/28) Diário Sim Elevado 11. Actualizações Servidor interno de actualizações das sistemas operativos Política de actualização do sistema operativo dos servidores Política de actualização do sistema operativo das estações de trabalho Sistema operativo dos servidores actualizado Sistema operativo das estações de trabalho actualizado Nível médio de segurança Não Não definido .manual Sim Apenas algumas Médio 12.

pt Interdita a reprodução de textos e imagens por quaisquer meios . Conclusão Após a análise de todos os dados recolhidos.tecad. “Sistemas de detecção e apoio a variáveis ambientais”. www. podemos organizar a informação por uma classificação ordenada por risco: Sistema Antivírus Responsáveis da segurança Sistemas de detecção e apoio a variáveis ambientais Actividades de reforço à segurança Controlo de acessos Identificação de SPF (Single Point of Failure) Actualizações Documentos de implementação da segurança Backups Outras observações Cruzando estes dados com a análise dos resultados dos scans de vulnerabilidades. “Identificação de SPF (Single Point of Failure) ” e “Actualizações”. Algum trabalho nestas áreas poderia melhorar significativamente o nível segurança global. “Controlo de acessos”. Posteriormente deverse-ia melhorar também os itens que obtêm uma classificação média: “Responsáveis da segurança”. “Backups” e “Outras observações”. TECAD-Sistemas Informáticos. que devem ser corrigidas a curto prazo como medida proactiva de prevenção de dano.pt COPYRIGHT 2007. conclui-se que existem algumas falhas de segurança. Recomenda-se atenção prioritária para as três classes onde se obtêm resultados negativos: “Documentos de implementação da segurança”. conclui-se o nível global de segurança da empresa Exemplo: Nível global de segurança Médio Após análise detalhada. Lda tecad@tecad. “Actividades de reforço à segurança”.TECAD SI – Auditoria de Segurança 10 13.

TECAD SI – Auditoria de Segurança 11 ANEXO 1 www.pt Interdita a reprodução de textos e imagens por quaisquer meios . Lda tecad@tecad. TECAD-Sistemas Informáticos.pt COPYRIGHT 2007.tecad.

Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 CONFIDENTIAL INFORMATION The following report contains company confidential information. All copies and backups of this document should be saved on protected storage at all times. Violating any of the previous instructions is grounds for termination. email. Do not distribute. . fax. or transfer via any electronic mechanism unless it has been approved by the recipient company's security policy. Do not share any of the information contained within this report with anyone unless they are authorized to view the information.Retina .

Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 Report Created By TECAD SI CLIENTE Report Created For .Retina .

Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 NETWORK ANALYSIS RESULTS Report Summary Scanner Name Scanner Version Scan Start Date Scan Start Time Scan Duration Scan Name Scan Status Retina 5. of Vulnerabilities By Risk % of Vulnerabilities By Risk Avg.4.Retina .5.Null Session - Top 5 Most Vulnerable Hosts Num.1355 28-12-2005 12:01:00 0h 1m 0s KADMIN Completed Machines Scanned Vulnerabilities Total High Risk Vulnerabilities Medium Risk Vulnerabilities Low Risk Vulnerabilities Information only Audits Credential Used 1 1 1 0 0 1 . of Vulnerabilities By Risk .

Accounts AIX Local Security Audits Anti-Virus Backdoors Caldera Local Security Audits CGI Scripts Cisco Local Security Audits Cisco Local Security Audits Conectiva Local Security Audits Database Debian Local Security Audits DNS Services DoS EnGarde Local Security Audits Fedora Local Security Audits FreeBSD Local Security Audits FTP Servers .Retina .Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 TOTAL VULNERABILITIES BY CATEGORY The following is an overview of the total vulnerabilities by audit category.

Gentoo Local Security Audits HPUX Local Security Audits Immunix Local Security Audits IP Services IRIX Local Security Audits Local UNIX Security Audits MacOS X Local Security Audits Mail Servers Mandrake Local Security Audits Miscellaneous NetBIOS NetBSD Local Security Audits OpenBSD Local Security Audits Peer-To-Peer P2P File Sharing Applications RedHat Local Security Audits Registry Remote Access RPC Services SCO Local Security Audits Service Control .

Slackware Local Security Audits SNMP Servers Solaris Local Security Audits Spyware SSH Servers SuSE Local Security Audits Trustix Local Security Audits TurboLinux Local Security Audits Web Servers Windows Wireless .

Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 TOP 20 VULNERABILITIES The following is an overview of the top 20 vulnerabilities on your network. Rank 1. 2.Retina . Vulnerability Name Null Session No Remote Registry Access Available Count 1 1 Top 20 Vulnerabilities .

Kerberos RPC-LOCATOR .IVS Video default DOMAIN . 6.World Wide Web HTTP (Hyper Text Transfer Protocol) KERBEROS . 20.Domain Name Server KERBEROS . 2. 13.Lightweight Directory Access Protocol MICROSOFT-DS . 14.Kerberos NTP . 15.Microsoft-DS KPASSWD . 17. 8. 5.Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 TOP 20 OPEN PORTS The following is an overview of the top 20 open ports on your network.Retina .RPC (Remote Procedure Call) Location Service NETBIOS-NS . 11.Network Time Protocol RPC-LOCATOR .Domain Name Server WWW-HTTP . 3. Port Number TCP:25 TCP:53 TCP:80 TCP:88 TCP:135 TCP:139 TCP:389 TCP:445 TCP:464 TCP:593 TCP:636 TCP:2232 UDP:53 UDP:88 UDP:123 UDP:135 UDP:137 UDP:138 UDP:389 UDP:445 Description SMTP . 19.LDAP Over SSL IVS-VIDEO .Simple Mail Transfer Protocol DOMAIN .NETBIOS Datagram Service LDAP . 12.Microsoft-DS Count 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Top 20 Open Ports .NETBIOS Session Service LDAP .kpasswd HTTP-RPC-EPMAP . 7. 4. Rank 1. 16. 9. 10.HTTP RPC Ep Map LDAPSSL .NETBIOS Name Service NETBIOS-DGM . 18.RPC (Remote Procedure Call) Location Service NETBIOS-SSN .Lightweight Directory Access Protocol MICROSOFT-DS .

4. 2. 5.Retina .Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 TOP 20 RUNNING SERVICES The following is an overview of the top 20 running services on your network. Name _Browser _LanmanServer _LanmanWorkstation _Netlogon _RpcSs Description Count 1 1 1 1 1 Top 20 Running Services . Rank 1. 3.

Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 TOP 20 OPERATING SYSTEMS The following is an overview of the top 20 operating systems on your network.Retina . Operating System Name Windows Server 2003 Count 1 Top 20 Operating Systems . Rank 1.

Rank Account Name No Users Discovered Count Top 20 User Accounts No Users Discovered .Retina .Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 TOP 20 USER ACCOUNTS The following is an overview of the top 20 user accounts on your network.

9. 8.Retina . 2. 5. 7. Rank 1. 4.Network Security Scanner Network Vulnerability Assessment & Remediation Management 28-12-2005 TOP 20 NETWORK SHARES The following is an overview of the top 20 network shares on your network. 3. Share Name ADMIN$ C$ D$ F$ IPC$ NETLOGON SYSVOL VPHOME VPLOGON Count 1 1 1 1 1 1 1 1 1 Top 20 Network Shares . 6.