| |
| Acadêmico(a): Fernando Lucio Cugik |
| Título: Software Livre para Verificação de Adequação de Servidores GNU/Linux a Norma de Segurança NBR ISO/IEC 27002 |
| |
| Conclusão: |
O estudo mais detalhado da norma de segurança NBR ISO/IEC 27002 e dos documentos de segurança para o GNU/Linux, permitiram uma melhor compreensão das recomendações da norma através dos seus controles. Este estudo foi importante por permitir o mapeamento dos controles que seriam implementados através dos scripts que verificam o servidor GNU/Linux.
O objetivo deste trabalho de construir um software livre para auditar e analisar a segurança de servidores GNU/Linux foi alcançado. Foi desenvolvido o sistema para efetuar a auditoria, bem como os scripts que implementam a verificação dos controles, tendo sido efetuadas algumas auditorias de teste que comprovaram o funcionamento correto da ferramenta.
Com o desenvolvimento deste trabalho, foi possível conhecer melhor a norma e com isso desenvolver a verificação dos seus controles para o sistema operacional GNU/Linux.
O desenvolvimento destes controles não foi algo inédito, mas resultado de uma compilação de conhecimentos encontrados em livros, em especial BS7799 da tática à prática em servidores Linux (MELO ET AL., 2006), fóruns de discussão, sites como Linux Security.com (GUARDIAN DIGITAL, 2007), e outros mais, encontrados através de buscas na internet.
O framework CakePHP permitiu maior produtividade no desenvolvimento da aplicação como um todo. A ferramenta Bake, que é o gerador de código do CakePHP, apresentou problemas na geração de algumas Controllers, mas mesmo assim o resultado foi positivo, tendo se mostrada acertada a sua escolha.
Os scripts desenvolvidos podem não reconhecer todas as possibilidades que foram usadas para implementar as recomendações dos controles da norma. Pode ainda, ocorrer que o controle tenha sido atendido de outra forma. Neste sentido o detalhamento das suas verificações, disponível na visualização da auditoria, é de bastante utilidade. Mesmo assim, existe a possibilidade da ferramenta emitir um falso positivo ou falso negativo na execução dos scripts. Por isso, para possibilitar o melhoramento da ferramenta, foi criado um
formulário eletrônico para o recebimento de problemas ou sugestões pelo site. Além de facilitar a personalização da ferramenta e dos scripts com a documentação construída. Os requisitos de segurança foram prioridades quando levados em conta os problemas que podem ocorrer com um relatório de segurança fraudado. Para compensar os controles adicionais de segurança implementados, em contrapartida com a facilidade de personalização da ferramenta, a construção do manual de personalização dos scripts disponível no Apêndice C mostrou-se suficiente.
O objetivo final foi adicionar e não dividir esforços com outros projetos de software livre existentes que também objetivam a segurança, mas com focos diferentes. Por exemplo, pode-se integrar ao trabalho desenvolvido o Nessus como analisador de vulnerabilidades, o Nmap como portscan, ou ainda o Snort como um Network Intrusion Detect System (NIDS), que são soluções consagradas e a implementação não pretende refazer. Também não é objetivo neste momento abordar como seria esta integração com estas ferramentas, mas deixa sugestões para futuras implementações.
Desenvolver software para a área de segurança não é uma tarefa fácil, principalmente considerando os problemas de segurança encontrados e explorados nas aplicações atuais. Deste modo, um software que analisa a segurança, deve ser projetado e desenvolvido já com os requisitos de segurança bem definidos, e freqüentemente repensado para que novas atualizações e melhorias possam ser implementadas.
A possibilidade de execução de auditorias reais através do site do projeto, mostra-se como uma possibilidade de divulgar e alavancar o projeto, já que permite fácil e rapidamente um usuário executar uma auditoria de segurança em um servidor GNU/Linux com base na norma NBR ISO/IEC 27002.
Espera-se que este trabalho possa ser útil como ferramenta adicional de segurança e na adequação à norma ISO/IEC 27002, mesmo que muitas melhorias ainda possam ser feitas. Este é o começo, o primeiro passo dado nesse projeto que pode avançar e melhorar com o conhecimento e contribuição de todos, que poderão estar trabalhando em conjunto numa comunidade de software livre. |
| |
|
