Muitas empresas, na ânsia de se modernizarem, acabam se esquecendo de alguns pequenos detalhes na hora de implementar sua rede de computadores que se traduzem em pequenos ou grandes incômodos no futuro. Exemplos clássicos que vemos em vários fóruns especializados incluem usuários ou alunos que colocam senhas nas telas de login dos sistemas operacionais ou da BIOS do computador, penetras que acessam a rede wireless corporativa sem autorização ou arquivos, fontes true type ou até mesmo instaladores de programas completos que são silenciosamente levados para casa pelos usuários. Este artigo não pretende ter a solução para todos esses problemas ou explicar como se faz tecnicamente, mas dar algumas dicas gerais que poderão evitar esses transtornos no futuro.
Segurança no ambiente de produção
Segurança Física
É mais comum que se imagina: alguns alunos ou empregados gostam tanto de sua escola ou empresa que fazem questão de levar um teclado, um mouse ou outro pequeno periférico de recordação ao final do expediente. Em casos graves, até notebooks e tablets podem ir dar um passeio. Essas pequenas subtrações podem ter um custo considerável para a empresa no final do ano além de atrapalhar toda a cadeia de produção, pois será necessário esperar que a peça faltante seja substituída. Não espere a polícia tomar uma atitude: as travas Kensington existem justamente para evitar que os dispositivos sejam removidos de seu local habitual e possuem um custo extremamente acessível - é possível encontrar algumas por até R$ 15,00 no Mercado Livre e as de maior qualidade custam cerca de R$ 130. Investir em câmeras de vigilância é um investimento que se paga em curto prazo.
Segurança de boot
Não interessa se você instalou as mais caras e recentes soluções de segurança para proteger as informações do computador de sua empresa ou se colocou uma senha de 32 caracteres: basta o usuário ter um cd ou pendrive com alguma distribuição live de Linux, como Ubuntu, que ele terá acesso completo aos arquivos de seu computador. Alguns live-cds, como o Ophcrack, conseguem inclusive quebrar as senhas do Windows, dando acesso irrestrito a qualquer um - empregado ou não.
A solução é impedir que a pessoa pudesse executar outro sistema operacional que não aquele instalado na máquina. Para isso, configure a BIOS para utilizar o disco rígido do computador como dispositivo primário de inicialização. Muitos modelos atuais permitem desabilitar o menu de boot rápido, geralmente acessível por uma tecla como F8 ou F12. As funções de acesso à partição de recuperação se houver, também devem ser desabilitadas no setup.
Após fazer esses ajustes, certifique-se de inserir uma senha no setup da máquina para impedir que outrem possa modifica-lo. Assim, não será possível utilizar outro sistema senão aquele instalado. Quando este sistema apresentar problemas, a máquina deverá ser reparada por um funcionário autorizado do departamento de TI conforme a dica "Segurança na manutenção" na seção do Ambiente de Testes.
Segurança no sistema operacional
Independente de qual sistema você utilize, os usuários deverão ter sempre contas limitadas. Colocá-los como contas administrativas permitirá que eles instalem ou removam os programas que bem entenderem ou, dependendo do sistema em uso, permitirá a entrada de vírus ou de softwares mal intencionados ou, até mesmo, de softwares piratas, o que certamente causará dor de cabeça durante uma eventual fiscalização.
Segurança na rede
A rede é um dos pontos mais delicados no tocante à segurança. Atualmente, há uma forte tendência na adoção de redes wireless. É claro que elas possuem suas vantagens, como a mobilidade total, mas também apresentam seus riscos que não podem ser ignorados.
O principal risco de se utilizar uma rede wireless é a chamada invasão de sinal. Muitos administradores não compreendem todos os detalhes dessa nova tecnologia e acabam configurando seus roteadores de uma forma nada segura, permitindo que qualquer pessoa nas imediações da empresa possa ter acesso à conexão.
O efeito imediato disso é que a sua banda será consumida por alguém externo, o que poderá fazer com que sua conexão fique extremamente lenta, mas este está bem longe de ser o maior problema, afinal uma vez conectado à rede wireless, o invasor está dentro da rede da empresa e, se tiver as ferramentas adequadas, ele poderá acessar com extrema facilidade qualquer computador que esteja conectado naquele momento.
Não adianta simplesmente colocar uma chave de autenticação forte, pois existem programas como o aircrack-ng capaz de quebra-los. A maioria dos modens e roteadores atuais, como o D-Link DSL-2640B, possuem a opção de se criar um filtro baseado em endereços MAC. Assim, você poderia cadastrar todos os micros de sua empresa e qualquer outro que tentasse se conectar simplesmente não conseguiria fazê-lo.
Outro ponto a se considerar é a necessidade de se adotar o padrão wireless. Atualmente, todos querem sepultar o velho padrão Ethernet o mais rápido possível, mas será que você precisa mesmo entrar na era sem fio? A menos que os empregados utilizem dispositivos como notebooks, tablets ou smartphones, ou seja, se sua empresa ainda utiliza os bons e velhos desktops e se não há planos imediatos de mudança de plataforma, a rede cabeada ainda é a mais ideal, pois evitará todos os problemas causados pela febre wireless.
Segurança no ambiente de testes
Segurança na manutenção
A manutenção de um computador jamais deve ser realizada no ambiente de produção. Se isso acontecer, ela irá despertar a curiosidade dos funcionários, atrapalhando o fluxo de trabalho. Além disso, corre-se o risco de alguém ver alguma senha ou informação confidencial.
Independente se o problema seja apenas um programa que necessite de ser reinstalado ou um pente de memória que precisa ser substituído, o melhor a fazer é retirar a máquina do ambiente de produção e leva-la a um laboratório em separado para que o reparo seja feiro.
A maioria dos computadores atuais possui uma partição de recuperação a qual permite recuperar o sistema de fábrica em poucos minutos. A menos que sua empresa tenha substituído o sistema padrão, mantenha essa partição intacta, pois ela facilitará seu trabalho. Mantenha, também, um compartilhamento de rede oculto, protegido por senha, com a cópia dos discos, instaladores ou drivers que deverão ser instalados no sistema. Tenha certeza de que só o pessoal do departamento de TI tenha acesso àquele compartilhamento e, se possível, configure-o como somente leitura.
Mantenha uma ata ou relatório onde você registrará todos os computadores que precisarem de manutenção. Anote o nome do computador na rede, a data e a hora do início da manutenção, o problema apresentado, a solução tomada e a data e a hora do fim do procedimento.
Além de tudo isso, é imperativo que você disponha de uma pequena quantidade de computadores reserva e de peças sobressalentes. O motivo é simples: se um computador falhar, você poderá rapidamente substituí-lo ou consertá-lo sem ter de prejudicar o fluxo normal de trabalho porque espera o fornecedor do micro vir recolhê-lo ou o motoboy entregar aquele disco rígido.
Segurança no servidor
A maioria das pequenas empresas simplesmente conecta os computadores em um hub e compartilha a internet neles, colocando-os no mesmo grupo de trabalho. Embora esse procedimento seja o que menos necessite de manutenção, é o mais inseguro, pois como foi dito anteriormente, qualquer outro computador que entrar na rede poderá se inserir nesse grupo de trabalho, além do fato de que os arquivos importantes poderão ficar espalhados em várias máquinas.
O melhor a fazer é implementar um controlador de domínio. Esse servidor garantirá a segurança da rede ao autenticar os usuários através de uma senha e centralizará os recursos: cada usuário terá uma pasta pessoal nesse servidor que se tornará sua unidade de rede (H: ou Z:) e todos os seus arquivos produzidos ficarão em um único lugar.
É claro que essa centralização tem seu preço e uma das primeiras medidas a implementar é um servidor de backup que fará cópias dos conteúdos produzidos. É imperativo que os backups não sejam armazenados no mesmo servidor principal (basta lembrar o que ocorreu com o migre.me em Setembro de 2010 para descobrir o porquê).
Além disso, a sala onde fica o servidor deverá, necessariamente, ficar separada do ambiente de testes e - principalmente - do ambiente de produção. O acesso a esta sala deverá ser restrito ao pessoal autorizado e ela deverá (conforme os recursos financeiros assim o permitirem) ser protegida contra inundações, incêndios e choques elétricos.
Segurança na implementação de atualizações e correções
Embora seja amplamente divulgado que as atualizações de segurança corrijam erros do software, na prática elas costumam, vez que outra, causar algum transtorno. Em meados de 2006, por exemplo, uma correção lançada pela Microsoft fez com que as impressoras HP conectadas ao micro que recebesse o patch parassem de funcionar. Imagine o que teria acontecido se um desavisado administrador instalasse essa atualização em uma empresa que sobrevive praticamente de impressões, como um escritório de advocacia?
Por isso, é importante que no ambiente de testes você tenha uma réplica em miniatura da rede da sua empresa com alguns dos periféricos usados no ambiente de produção e teste se, após a aplicação de determinada atualização, tudo continuará funcionando normalmente.
Operações que envolvam mudanças em hardware ou paralisação de serviços de rede devem ser feitas preferencialmente fora do horário de expediente e, mesmo assim, você deve avisar os funcionários do procedimento que será feito para não pegar ninguém de surpresa. Por mais que adicionar um novo pente de memória no servidor principal seja uma tarefa simples, sempre há o perigo de algo sair errado. Assim, envie um e-mail ou mensagem aos funcionários um dia antes da operação explicando o que será feito e que, por causa disso, alguns serviços de rede poderão ficar indisponíveis por determinados instantes. Quando a operação terminar, envie outra mensagem explicando que a mesma foi concluída com sucesso ou que houve imprevistos indicando quando ela será realizada novamente e como isso afeta os empregados.
Segurança de Proxy
Ter um proxy de rede é praticamente obrigatório se sua rede tem algumas dezenas de computadores. Tanto o Squid quando o ISA Server, além de filtrar o conteúdo, aceleram a navegação ao criarem um cache das páginas visitadas.
É recomendável que seu proxy seja transparente, pois isso evitará a necessidade de se configurar cada estação manualmente e a possibilidade de um espertinho o desativar através das configurações do navegador utilizado.
Há duas alternativas no tocante ao proxy: você pode bloquear todos os sites e liberar apenas uma lista - o que é interessante para setores chave como a contabilidade - ou liberar tudo e bloquear uma lista, o que é mais comum e mais difícil de vigiar.
De imediato, a menos que sua empresa trabalhe com mídias sociais, você deve bloquear o acesso a sites como Twitter, Facebook e Orkut, pois, além de dispersar a atenção do empregado, este poderá vazar informações confidenciais nestas redes de forma voluntária ou involuntária. Sites como Megaupload e Rapidshare também devem estar na lista negra, assim como sites pornográficos e o MSN.
Os dois proxies citados acima permitem, também, bloquear downloads de extensões de arquivos. Nomes conhecidos como MP3, AVI e RMVB devem ir para a lista negra. Se sua rede usa Windows, bloqueie também extensões como EXE, PIF, BAT, SCR, VBS e CMD, que são as principais utilizadas pelos vírus. Não se esqueça de também bloquear o acesso aos sites de web proxy mais conhecidos, como Anonymouse e HideMyAss.
Caso você não tenha condições de implementar um servidor de proxy, o OpenDNS oferece um serviço gratuito e similar que, na prática, tem o mesmo efeito.
Segurança no desligamento de pessoal
Os desligamentos ocorrem pelas mais variadas razões, desde empregados que estão se aposentando ou mudando de emprego até aqueles que são demitidos por conduta imprópria. Seja o desligamento amigável ou não, você deve ter certeza de que todas as credenciais e logins do empregado que está deixando a firma sejam totalmente bloqueadas antes mesmo de ele sair do prédio. Um empregado demitido enfurecido é capaz de criar um desastre. De forma similar, bloqueie os acessos dos empregados que estiverem de férias ou de licença para evitar utilização indevida de suas contas durante esse período.
0 comentários:
Postar um comentário