Nesse artigo reunimos algumas dicas para deixar seu servidor web mais protegido, e manter suas operações na internet seguras e livres de agentes mal intencionados. E não importa se a sua empresa é de pequeno ou médio porte, ou se você é um empreendedor individual, as regras de segurança da informação devem ser observadas da mesma forma.
Isso porque a lei confere a responsabilização por desrespeito às regras de uso de dados de terceiros, no ambiente digital ou não. Com isso, aumentando ainda mais a necessidade de adotar um conjunto de normas, métodos e procedimentos e torná-lo conhecido a todos os usuários responsáveis por zelar pela proteção de dados e arquivos.
Dessa forma, construindo um sistema de gestão da segurança da informação – SGSI criterioso para fazer análises e revisões de forma periódica ou quando ocorrer alguma mudança. Para tal, é imprescindível se pautar por normas, como a ISO 27001, que define responsabilidades e objetivos a serem medidos, analisados e auditados internamente.
E os benefícios disso são muitos, mas o principal deles é a possibilidade de garantir maior confiabilidade aos parceiros e clientes, mantendo sempre em dia as boas práticas de segurança em servidores web, computadores, softwares e periféricos, isso também contribui para a melhora de desempenho em todos os setores da empresa.
E quando se trata de operações na internet que envolvem transações financeiras, tributárias, comerciais, mitigar os riscos pode salvar seus ativos patrimoniais. Por isso a importância de fazer uso de diversos recursos tecnológicos, agregando mais e mais camadas de proteção no sistema de segurança da informação.
Afinal, aumentar a segurança digital nunca é demais. Portanto, não deixe de conferir a seguir 7 dicas para deixar seu servidor mais protegido e livre de problemas. Aproveite.
1. Chaves SSH
Chaves SSH são tecnologias de acesso criptografado, com nível de segurança superior aos acessos por meio de senhas. Para isso, é necessário criar um par de chaves pública e privada antes da autenticação. Sendo possível compartilhar a chave pública com outros usuários, diferente da chave privada, que deve ser utilizada apenas pelo usuário e mantida em segredo.
Além disso, as chaves SSH permitem o acesso aos servidores web de forma automática, sendo também de uso comum em:
- Scripts;
- Sistemas de backup;
- Ferramentas de gerenciamento de configuração; e por
- Desenvolvedores e administradores de sistemas.
As chaves SSH podem ser muito convenientes para usuários que possuem diversas contas e precisam acessá-las várias vezes ao dia. Isso porque elas permitem acessar diversas contas digitando a senha para apenas uma dessas contas.
Sendo por meio da chave SSH ser possível acessar o protocolo SSH, ela serve muito bem para ser usada em processos automatizados, bem como para implementar login único para administradores de sistemas e usuários avançados, algo primordial para deixar seu servidor mais protegido.
Protocolo SSH - Secure Shell
O protocolo SSH – Secure Schell é responsável pelo gerenciamento de mais da metade dos servidores web em todo o mundo, além de computadores, como:
- Unix ou Linux;
- On-premise;
- Cloud – nuvem.
O protocolo SSH é utilizado por especialistas em segurança da informação e administradores de sistemas para configurar, gerenciar, manter e operar:
- Firewalls;
- Roteadores;
- Switches;
- Servidores em rede.
Além disso, o protocolo SSH está embutido em várias soluções de gerenciamento de sistemas e transferência de arquivos.
Em virtude da sua alta usabilidade, o protocolo SSH já substitui o uso de ferramentas e protocolos, como a telnet ftp, FTP/S, rlogin, rsh e rcp.
Autenticação de Chave SSH
Para fazer a autenticação de uma chave SSH é preciso configurar o servidor, inserindo uma chave pública em um diretório exclusivo para isso.
Dessa forma, quando o usuário se conectar ao servidor, o cliente precisará comprovar que ele possui uma chave privada associada, respondendo às perguntas feitas pelo sistema.
Por fim, mediante a confirmação dada pelo sistema, o servidor libera a conexão para o cliente, sem a necessidade de informar uma senha de acesso.
Chaves SSH são seguras?
As chaves SSH são consideradas mais seguras que os demais processos de autenticação, inclusive aqueles que exigem senhas, pois sua tecnologia possui criptografia de ponta a ponta.
Por isso, a maioria das chaves SSH são desenvolvidas com um grande número de bits de dados, o que dificulta eventuais acessos maliciosos, pois exigem muito tempo para um software invasor ser executado, deixando seu servidor web mais protegido.
2. Firewall
Conceitualmente, o Firewall é um sistema de hardware ou software que tem como função proteger uma rede local de tráfegos nocivos ou não autorizados.
Sendo que, tais tráfegos podem ser provenientes de rede externa, como a internet, e também de hosts da própria rede.
Portanto, o Firewall é responsável por controlar o tráfego de dados entre redes interconectadas, de acordo com regras pré-definidas de políticas de segurança.
Em outros termos, portanto, o Firewall é um recurso utilizado para impedir invasões ao sistema ou à rede, funcionando como uma barreira de proteção contra possíveis ataques ao computador ou à rede.
Sendo necessário que o sistema Firewall esteja devidamente configurado para identificar e impedir o acesso de tráfegos nocivos ou não autorizados ao servidor.
Boa parte dos sistemas Firewalls funcionam como filtros de pacotes, desenvolvidos com regras para listar origens e destinos aceitáveis, bem como origens e destinos bloqueados.
Serviços Firewall
Para o Firewall impedir tráfegos nocivos ou ameaças, é preciso configurá-lo com os serviços disponíveis, que podem ser classificados por categorias, como por exemplo:
- Serviços públicos: cujo acesso é liberado para qualquer pessoa na internet, de forma anônima ou não. Exemplo: um servidor web que permite o acesso a um dado site;
- Serviços privados: com acesso restrito aos usuários com contas autorizadas, ou aos usuários de uma determinada localidade. Exemplo: o painel de controle de um banco de dados;
- Serviços internos: com acesso restrito às conexões do próprio servidor, portanto, impedindo a exposição do serviço fora da rede interna. Exemplo: um banco de dados com acesso permitido apenas às conexões locais.
Assim, conforme a configuração do Firewall, ele restringe ou não o acesso ao software, dependendo do tipo de serviço que o servidor oferece. Sendo o acesso completamente bloqueado para portas que não estão sendo utilizadas, na maioria das configurações, o que torna seu servidor mais protegido.
Firewalls são seguros?
Firewalls são seguros, desde que sejam devidamente configurados conforme as políticas de segurança em questão. O nível de segurança do Firewall Software pode ser ainda maior, se instalado em máquina por máquina da rede interna.
Também é interessante implementar o Firewall Hardware associado ao software, para aumentar ainda mais a proteção contra ataques da própria rede interna. Mas o mais recomendado, é que o Firewall seja utilizado com um recurso de segurança cibernética complementar, a fim de oferecer uma camada extra de proteção.
Firewalls não são seguros
Em alguns casos, o uso do Firewall não é recomendado, pois determinados tipos de ataques exigem soluções de segurança diferentes, que o Firewall não oferece, tais como:
- Ataques vindos de conexões VPN estabelecida;
- Ameaças internas, provocadas por usuários da própria rede local;
- Ataques infecciosos provocados por vírus e outros tipos de malware, principalmente os ocorridos entre máquinas na rede interna.
Enfim, nestes casos, o mais recomendado é utilizar uma solução de segurança específica para cada tipo de tráfego de dados.
3. VPNs e Redes Privadas
Uma VPN - Virtual Private Network, ou Rede Privada Virtual em português, se utiliza da infraestrutura de rede pública; a internet, mas com acesso limitado.
Para isso, a tecnologia VPN tem seu tráfego de dados criptografado por meio de um túnel virtual criado dentro de uma rede pública, cujo acesso é restrito aos usuários credenciados.
Sendo comum o seu uso em ambientes corporativos para conectar computadores de forma remota, como no caso de uma empresa matriz e suas filiais. Além disso, uma VPN também permite o compartilhamento de impressoras, scanners, e outros equipamentos que estejam conectados à VPN. O bom uso da VPN pode tornar o seu servidor mais protegido, a depender da forma que for utilizada.
VPNs são seguras?
As VPNs são consideradas seguras, uma vez que viabilizam o tráfego de dados encriptados entre redes distantes.
Dessa forma, garantindo maior confidencialidade e privacidade na troca de informações entre os usuários nela conectados. No entanto, é recomendado a implementação de medidas de segurança extras, além de selecionar quais serviços podem ser expostos na rede pública ou privada e para quem.
VPNs não são seguras
Considerando que as VPNs conectam as redes de forma remota, isso permite mascarar sua real localização geográfica, o que pode gerar alguma insegurança, dependendo do caso.
Isso pode atrapalhar o bloqueio do acesso ao YouTube, Netflix, WhatsApp, dentre outras plataformas, pois com uma VPN é possível burlar essa regra.
Visto que a VPN é virtual e não tem nenhuma localidade atrelada a ela. Por exemplo, um usuário daqui do Brasil consegue se conectar à rede com endereço de outro país. Nesse sentido, as VPNs podem não ser tão seguras diante de eventuais atitudes maliciosas por parte dos usuários.
4. Infraestrutura de Chaves Públicas - ICP
A Infraestrutura de Chaves Públicas – ICP é o processo oficial de certificação digital, permitindo a emissão de certificados digitais para as mais diversas demandas.
Por isso, todo processo de certificação digital pela ICP possui validade jurídica, abrangendo o setor público e privado em suas transações comerciais, bancárias etc.
No Brasil, a autoridade certificadora raiz AC – raiz dos certificados digitais é o Instituto Nacional de Tecnologia da Informação.
Sendo responsabilidade da Autoridade Certificadora – AC emitir, distribuir, renovar, revogar e gerenciar certificados digitais.
O certificado digital emitido pela AC equivale à declaração de identidade do titular, o qual deve possuir um par único de chaves criptográficas públicas/privadas.
É também responsabilidade da AC emitir as Listas de Certificados Revogados – LCR, além de manter sob sua guarda os registros das suas operações, conforme as normas do ICP.
Certificado digital é seguro?
A segurança do certificado digital pode variar conforme o tipo de chave pública, geralmente, todos fazem uso de senha pessoal e criptografia dos dados.
No entanto, algumas chaves possuem controles de segurança mais rígidos, como as chaves primárias, que só permitem o acesso a partir do computador autorizado.
Em outros casos, se o usuário esquecer sua senha pessoal, é necessário solicitar um novo processo de certificação digital.
Hoje em dia, a maioria das transações financeiras, tributárias e bancárias exigem uso obrigatório de certificado digital, por ser considerado um recurso muito seguro.
Inclusive, alguns serviços de hospedagem só transmitem dados com servidores autenticados com certificado digital, como acontece com os bancos, e-CPF, e-CNPJ etc.
5. Criptografia SSL/TLS
A criptografia SSL, Secure Sockets Layer, ou Camadas de Soquetes Segura, em português, é um tipo de segurança digital criptografada para tráfego de dados.
Hoje em dia, o protocolo SSL caiu em desuso, visto que já existe um protocolo similar, mas com tecnologia superior, o TLS - Transport Layer Security, ou Segurança da Camada de Transporte.
A versão SSL 1.0 foi criada em 1994, pela antiga Netscape, mas foi completamente substituída, quando a IETF criou a versão TLS 1.0, em 1999.
De lá pra cá, o TLS já passou por diversas melhorias, sendo a versão 1.3 a mais recente, criada em 2018.
Função da Criptografia TLS
A função da Criptografia TLS é viabilizar a comunicação segura na internet, em trabalho conjunto com o protocolo HTTPS – Hiper Text Transfer Protocol Secure.
Dessa forma, com a camada extra de proteção do TLS, é possível transmitir dados entre o navegador web e o servidor web de forma concreta e deixar seu servidor mais protegido.
Para isso, a conexão é feita de forma criptografada, para verificar a autenticidade do servidor e do cliente, fazendo uso dos certificados digitais.
Criptografia TLS é segura?
A Criptografia TLS é considerada a forma mais segura de veicular informações na web, uma vez que se utiliza de uma AC para criptografar o tráfego de dados de ponta a ponta.
Com isso, com a ajuda da Criptografia TLS é possível prevenir ataques do tipo man-in-the-middle, fazendo uso de códigos cifrados que só podem ser decodificados pela camada TLS do servidor web.
Portanto, para uma assinatura digital ser considerada confiável, é preciso implementar um certificado digital em cada servidor da rede, além de autenticar os usuários.
6. Auditoria no Sistema de Segurança da Informação
Quando se trata de comunicação corporativa e transmissão de dados via internet, todo cuidado com segurança da informação é bem-vindo para deixar seu servidor mais protegido.
Por isso, atrelado ao uso de tecnologias modernas de segurança na internet, o serviço de auditoria no Sistema de Segurança da informação periódico é igualmente importante.
Assim, viabilizando controles de qualidade mais rígidos, a partir de um trabalho contínuo e sistemático de prevenção contra acessos não autorizados no sistema de informação.
Portanto, a Auditoria do Sistema de Segurança da Informação interno ajuda a identificar possíveis serviços em execução paralelos aos serviços de inicialização do SO, por exemplo.
Dessa forma, identificando as portas de acesso vulneráveis e os protocolos burlados, é possível melhorar a configuração do Firewall, e aumentar a proteção do tráfego de dados ali existentes.
Auditoria no Sistema de Segurança da Informação interno é seguro?
A Auditoria no Sistema de Segurança da Informação interno tem a proposta de zelar pelas políticas de segurança da informação nas entidades.
E assim como as demais ferramentas de proteção de dados, a auditoria pretende aumentar o nível de segurança da informação, identificando e corrigindo erros e mitigando ao máximo o tráfego nocivo e acessos não autorizados ao servidor.
7. Auditoria de Arquivo e Sistemas de Detecção de Intrusão
O processo de Auditoria de Arquivo envolve a comparação entre o sistema atual e os registros e características do arquivo do seu sistema, o que pode tornar seu servidor mais protegido.
Assim, sendo possível identificar possíveis autorizações irregulares que geraram alterações no sistema original.
Um Sistema de Detecção de Intrusão, por sua vez, é um software desenvolvido para monitorar um sistema ou uma rede e combater as atividades não autorizadas.
Sendo comum ter este recurso implementado em serviços de host, para Auditoria Diária do Sistema de Arquivos para monitorar as modificações em arquivos críticos.
Auditoria de Arquivo e Sistemas de Detecção de Intrusão são seguros?
Implementar ferramentas de Auditoria de Arquivo e Sistemas de Detecção de Intrusão também é uma forma segura de proteger um servidor ou um banco de dados.
Visto que, fazendo esse monitoramento diário, fica muito mais fácil combater usuários ou processos mal intencionados e impedir alterações no sistema de arquivos.
Manter as práticas de auditoria é importante para detectar invasores ocultos e impedir que ele permaneça explorando o servidor por um longo período de tempo.
Caso o bloqueio não ocorra de imediato, os invasores ocultos podem substituir o sistema binário original do servidor por versões comprometidas, e danificar a integridade do servidor web.
Portanto, implementar auditorias de arquivos e sistemas de detecção de intrusão é uma forma eficaz de trabalhar em conjunto em prol da preservação da segurança da informação.
Conclusão - Como deixar seu servidor mais seguro
Implementar estas 7 dicas para deixar seu servidor mais protegido é um investimento que gera um ótimo retorno.
E mesmo que não seja possível implementar todas essas ferramentas de segurança na internet de imediato, é aconselhável priorizar um rígido controle em softwares, servidores e hardwares em geral.
Sendo os serviços de auditoria no sistema de segurança da informação parte das políticas de segurança da informação da organização, bem como para atendimento aos regulamentos governamentais.
Mas por hoje ficamos por aqui. Esperamos ter ajudado para que as suas operações futuras na internet transcorram de forma mais segura daqui pra frente.
Até o nosso próximo encontro.