Baixe Segurança de Redes: Técnicas e Ferramentas para Profissionais e outras Resumos em PDF para Redes de Computadores e Telecomunicações, somente na Docsity!
© 2015 - AIEC - Associação Internacional de Educação Continuada
UNIDADE^1 – FUNDAMENTOS DE^ SEGURANÇA
MÓDULO^1 – INTRODUÇÃO
1 - CONCEITOS BÁSICOS DE SEGURANÇA
Antes de entrarmos em nosso assunto, cabe destacar que, para compreensão do conteúdo que veremos a partir de agora, é importante que se tenha uma noção sobre segurança de redes, incluindo a família de protocolos TCP/IP, além disso, algumas noções de administração de servidores Linux e Windows. Nossa disciplina terá enfoque mais prático, com foco na área de redes e sistemas operacionais. É importante que você tenha consciência de que esta é uma disciplina prática e progressiva, com atividades práticas fundamentais e interdependentes, de modo que uma atividade de um capítulo é pré- requisito para as atividades dos capítulos seguintes. Você deve investir nas atividades práticas para finalizá-las completamente, caso contrário, poderá não obter o aproveitamento desejado. O profissional de segurança deve ter sempre em mente alguns conceitos básicos, que nortearão o seu trabalho no dia a dia. Ele deve pensar de forma diferente do tradicional, pois para ele não é suficiente apenas o recurso ou serviço estar funcionando: é preciso estar funcionando de forma segura. Podemos citar como exemplo o desenvolvimento de uma aplicação web. Neste exemplo dispomos de diversos componentes que devem funcionar de forma integrada. Podemos citar então:
- Servidores físicos ( hardware );
- Sistemas operacionais dos servidores;
- Servidor de aplicação;
- Servidor HTTP;
- Aplicação web;
- Servidor de banco de dados;
- Segurança do hardware dos servidores;
- Segurança do sistema operacional;
- Segurança da aplicação através de testes de penetração; 10) Segurança da rede de comunicação.
© 2015 - AIEC - Associação Internacional de Educação Continuada Esses são exemplos didáticos, pois uma aplicação comercial em produção poderá ter outros componentes, como redundância, sistemas de gerenciamento, sistemas de avaliação de desempenho das aplicações e ambientes de virtualização, entre outros.
Para o desenvolvedor , a preocupação maior é com o bom funcionamento da aplicação. Hoje existem alguns padrões de desenvolvimento seguro, boas práticas e informações sobre os problemas de segurança mais comuns desse tipo de aplicação. Porém, o desenvolvedor normalmente possui prazos a cumprir e nem sempre possui experiência suficiente no desenvolvimento de código seguro. A equipe de suporte possui a preocupação de alocar recursos suficientes para a operação da aplicação, de acordo com a carga esperada. A equipe de homologação e testes muitas vezes está apenas preocupada com o bom funcionamento da aplicação em condições normais de operação. O profissional de segurança , por outro lado, está preocupado com a segurança da aplicação, o que envolve a segurança de cada um dos componentes envolvidos:
- Segurança do hardware dos servidores, com garantia de fornecimento de energia através de fontes redundantes, nobreaks, geradores e até servidores redundantes;
- Segurança do sistema operacional, do servidor de aplicação e do servidor web, através da configuração segura, retirada de serviços desnecessários, aplicação das últimas correções de segurança do fabricante, filtragem de portas desnecessárias, entre outros;
- Segurança da aplicação através de testes de penetração, avaliação das possíveis vulnerabilidades, análise do código, entre outros; 4) Segurança da rede de comunicação, com avaliação da possibilidade de ataques de negação de serviço pela rede, ataques a protocolos, entre outros.
O profissional de segurança deve ter uma formação diversificada. Dentre as competências mais importantes, podemos destacar:
© 2015 - AIEC - Associação Internacional de Educação Continuada É importante notar que a disponibilidade e a integridade podem ser medidas de forma simples, visto que elas são perceptíveis pelos usuários da informação. A confidencialidade pode ser quebrada sem que se tenha conhecimento do fato, pois a simples visualização de uma informação por um usuário não autorizado não necessariamente altera essa informação. Daí a importância da auditoria, na qual são analisados os registros de acesso de determinada informação, com o objetivo de verificar se houve acesso indevido. A auditoria será tratada futuramente ainda nesta disciplina. Observe, ainda, que existem três dimensões completamente distintas: duas delas, a confidencialidade e a integridade, são valores booleanos: ou a informação se manteve confidencial ou não; ou a informação se manteve íntegra ou não. A terceira é um número real entre 0 e 1, podendo ser calculada pela própria definição. Duas podem ser qualificadas e quantificadas: a integridade e a disponibilidade. Não temos como saber se um dado perdeu confidencialidade.
A literatura moderna inclui ainda mais alguns conceitos, que muitas vezes são considerados auxiliares aos três já listados. São eles: a) Autenticidade Garantia de que uma informação, produto ou documento foi elaborado ou distribuído pelo autor a quem se atribui. b) Legalidade Garantia de que ações sejam realizadas em conformidade com os preceitos legais vigentes e que seus produtos tenham validade jurídica. c) Não repúdio Conceito no qual o emissor de uma mensagem não pode negar que a enviou. As tecnologias de certificação digital e assinatura digital garantem essa condição. d) Privacidade Conceito que expressa a habilidade de um indivíduo em controlar a exposição e a disponibilidade de informações acerca de si. Com o crescimento dos mecanismos de busca, bancos de dados e informações publicadas na internet e redes sociais, esse conceito tem sido muito discutido em fóruns específicos. Um exercício interessante que o aluno pode realizar é buscar o seu próprio nome no site de buscas do Google.
© 2015 - AIEC - Associação Internacional de Educação Continuada Encontramos nas bibliografias o termo DICA ou ACID para referenciar os conceitos de Disponibilidade, Integridade, Confidencialidade e Autenticidade.
Os conceitos a seguir são extremamente importantes para o profissional de segurança, que deve tê-los em mente no cotidiano de sua tarefa:
- Least Privilege (Menor Privilégio);
- Defense In Depth (Defesa em Profundidade);
- Check Point (Ponto Único);
- Default Deny e Default Permit Stance (Atitude de Bloqueio Padrão e Permissão Padrão);
- Universal Participation (Participação Universal);
- Diversity of Defense (Diversidade de Defesa); 6.1 Inherent Weaknesses (Fraquezas Inerentes); 6.2 Common Configuration (Configuração Comum); 6.3 Common Heritage (Herança Comum); 6.3 Weakest Link (Elo Mais Fraco); 6.4 Fail Safe (Falha Segura); 6.5 Simplicity (Simplicidade). 1 Least Privilege (Menor Privilégio) Cada função deve ter apenas os privilégios mínimos para executar suas tarefas e nenhum outro. É difícil aplicar esse conceito, pois muitas vezes ele envolve uma série de ajustes e um mínimo erro pode fazer com que o recurso pare de funcionar. Em um servidor web, por exemplo. Executar o processo do servidor como o usuário administrador provavelmente fornecerá uma série de privilégios desnecessários a ele. Nesse caso, convém criar um usuário específico (ex.: httpd) e definir as permissões mínimas para que o serviço funcione (permissão de leitura na pasta onde ficam as páginas HTML e permissão de leitura e gravação na pasta onde ficam os registros de acesso).
© 2015 - AIEC - Associação Internacional de Educação Continuada Sistemas de um mesmo tipo podem sofrer da mesma fraqueza inerente a esse tipo de sistema. Exemplos: falha de conceito ou falha de um protocolo com programação comum. 6.2 Common Configuration (Configuração Comum) Sistemas diferentes configurados por uma mesma pessoa ou grupo de pessoas podem sofrer de problemas semelhantes de configuração. 6.3 Common Heritage (Herança Comum) Sistemas de fabricantes diferentes podem usar componentes comuns e consequentemente terem as mesmas falhas. 6.3 Weakest Link (Elo Mais Fraco) Corresponde ao ponto mais fraco das suas defesas. As suas defesas são tão fortes quanto o ponto mais fraco. Este deve ser eliminado quando possível ou transformado em uma fortaleza para desencorajar ataques. Muitos atacantes vão procurar o ponto mais fraco da sua rede, tentando atacar a rede a partir dele. Pontos fracos da rede devem ser constantemente monitorados quando não puderem ser eliminados. 6.4 Fail Safe (Falha Segura) Em caso de falha os sistemas devem fazê-lo de modo a inibir qualquer tipo de acesso. O prejuízo da falta de acesso é preferível ao acesso liberado de forma irrestrita em caso de falha. 6.5 Simplicity (Simplicidade) Manter o ambiente simples. A complexidade esconde potenciais problemas de segurança. Interfaces gráficas, gerenciadores centralizados e sistemas com configurações simples são alguns exemplos desse princípio. Porém, deve-se tomar cuidado com o excesso de simplicidade. Um simples botão na ferramenta com os dizeres “torne meu sistema seguro” pode não ser adequado. Os sistemas devem ter um mínimo de parametrização, pois cada ambiente possui suas peculiaridades.
© 2015 - AIEC - Associação Internacional de Educação Continuada
2 - PROCESSO DE TRATAMENTO DE RESPOSTA A INCIDENTES
Conforme o Cert.br, um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. É comum considerar que toda situação na qual uma entidade de informação corre riscos pode ser considerada um incidente de segurança. No entanto, cada organização deve definir o que, em relação aos seus sistemas, poderá ser considerado um incidente de segurança em potencial. Geralmente as organizações classificam como incidentes de segurança qualquer ato que possa não estar em conformidade com a política de segurança adotada pela instituição. Todo incidente ocorrido na organização deve ser tratado de acordo com uma metodologia definida previamente. Assim, para atender ao processo de resposta a incidentes de segurança, a organização deve elaborar uma metodologia visando gerenciar consequências de uma quebra de segurança. Seu principal objetivo é minimizar o impacto causado por um incidente e possibilitar o restabelecimento dos serviços no mais curto espaço de tempo possível. No final da década de 1980 o incidente conhecido como “Internet Worm” resultou em um incidente que paralisou centenas de sistemas na internet. Após esse problema, alguns grupos se reuniram para discutir os rumos da segurança na internet. Essa reunião resultou, mais tarde, na criação do CERT Coordination Center (Center of Emergency Response Team). Um Centro de Resposta a Incidentes, o CERT foi uma das primeiras organizações do tipo CSIRT (Computer Security Incident Response Team). Segundo o Cert.br, um CSIRT, ou Grupo de Resposta a Incidentes de Segurança , é uma organização responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores. Pode ser um grupo dentro da própria instituição trabalhando exclusivamente para a resposta a incidentes dos serviços prestados pela empresa ou pode trabalhar na forma de comunidade, auxiliando várias instituições e produzindo estatísticas e relatórios que beneficiam todo um grupo ou mesmo um país (Cert.br 2007).
© 2015 - AIEC - Associação Internacional de Educação Continuada Estágio 1 – Preparação dos processos O ciclo de vida de um incidente começa antes do próprio incidente. Deve-se elaborar processos e procedimentos que proponham a ação correta empregada contra ameaças e vulnerabilidades possíveis à organização. É importante que todos os processos empregados sejam testados e aperfeiçoados. Esses processos têm por finalidade o correto emprego dos recursos para a resposta a incidentes. Estágio 2 – Gerenciamento de riscos Deve ser feito por meio de ações corretivas e preventivas de ameaças existentes, pois estas são um fator intrínseco dentro de uma organização. O gerenciamento de riscos é muito importante e deve ser um processo contínuo dentro de uma organização, desenvolvendo medidas de segurança e calculando seu impacto para cada uma das etapas de um ciclo de incidentes. Estágio 3 – Triagem O método de recepção de todo e qualquer indício de incidente é de suma importância, pois é com uma correta triagem da informação que se inicia todo o processo de catalogação e resposta ao incidente. Os grupos de resposta a incidentes comumente informam apenas um meio de contato ou “hotline”, seja para um grupo de resposta de âmbito nacional, privado ou mesmo dentro da organização. Essa triagem é importante para a aplicação correta do controle de segurança da informação impactado pelo incidente. Normalmente, esse controle também é atribuído a um gerente de incidente, profissional especializado no problema que estará à frente do incidente até a sua resolução. Estágio 4 – Resposta a incidentes Quando um incidente já passou pela triagem, ele é submetido ao plano de resposta a incidentes da organização. Nesse ponto, atividades anômalas são detectadas e a adoção de medidas apropriadas pode identificar sistemas afetados, dimensionando o montante do prejuízo. Estágio 1
- Preparação dos processos Estágio 2 - Gerenciament o de riscos Estágio 3 - Triagem Estágio 4 - Resposta a incidentes
© 2015 - AIEC - Associação Internacional de Educação Continuada
2.2 - Grupos de resposta a incidentes O maior desafio para os profissionais de segurança é a gestão da infraestrutura de comunicação de dados da internet , seu gerenciamento e manutenção. Na maioria das organizações, as equipes de profissionais em rede não contam com pessoal em quantidade suficiente para atender à demanda crescente para otimizar sistemas, atualização incessante de programas para minimizar riscos e defender-se dos contra ataques de todos os tipos. Esse cenário se torna pior à medida que surgem novas ferramentas de ataques, malwares , toolkits e a crescente organização de grupos que visam à paralisação e o roubo de dados na Internet. Nesse contexto, para atender à necessidade de resposta a incidentes, surgem os grupos de resposta a incidentes , cujo objetivo é responder de maneira rápida e efetiva a essas ameaças. Esse grupo tem como objetivo desenvolver meios para identificar, analisar e responder a incidentes que venham a ocorrer, minimizando prejuízos e reduzindo seus custos de recuperação. O grupo de resposta fornece informações quanto aos seis itens abaixo listados:
- Tratamento de incidentes;
- Tratamento de vulnerabilidades;
- Qualidade de serviços de segurança;
- Consultoria em segurança;
- Análise de riscos e
- Planejamento e recuperação de desastres.
Os grupos de resposta a incidentes geralmente trabalham em duas frentes, prevenção e resposta. A prevenção é caracterizada por serviços de grupo que procuram se antecipar aos problemas de maneira a preveni-los, gerando uma base de conhecimento para futura pesquisa. Dentre as principais atividades de prevenção destacam-se a auditoria de segurança e o treinamento e orientação a usuários.
© 2015 - AIEC - Associação Internacional de Educação Continuada
A resposta a incidentes compõe-se de serviços reativos que englobam atividades realizadas após algum evento ou requisição dentro da organização. Baseiam-se em análises de logs e produção de relatórios em função de alguma detecção de atividade maliciosa. Dentre as principais atividades de resposta a incidentes, podemos destacar as seguintes: a) Tratamento de incidentes Segundo Chuvakin e Peikari uma reposta a incidente é um processo de identificação, contenção, erradicação e recuperação de um incidente de computador, realizado pelo time de segurança responsável. Saiba+ b) Tratamento de vulnerabilidades O tratamento de vulnerabilidades visa submeter os sistemas a uma auditoria a fim de saber quais suas fraquezas e como preveni-las através de mitigação de alguns serviços. Saiba+ c) Qualidade de serviços de segurança A qualidade dos serviços de segurança proporciona aumento na experiência adquirida na prestação de serviços proativos e reativos descritos acima. Esses serviços são concebidos para incorporar os feedbacks e as lições aprendidas com base no conhecimento adquirido por responder a incidentes, vulnerabilidades e ataques. Parte de um processo de gestão da qualidade da segurança pode melhorar a segurança em longo prazo, gerando base dados de incidentes e suas propostas para solução. Saiba+ (Tratamento de incidentes) O tratamento de incidentes é a principal atividade de um time de resposta a incidentes. São os incidentes que vão gerar todo o processo de identificação, classificação e tomada de decisão sobre quais procedimentos tomar para sanar o problema, quantas vezes o problema foi constatado dentro de um período, qual o impacto causado pelo incidente e se este obteve ou não sucesso. Saiba+ (Tratamento de vulnerabilidades) Essa metodologia está diretamente ligada à criação do plano de continuidade de negócios dentro de uma organização, pois, através das avaliações feitas, é possível fazer uma análise de risco e impacto para as vulnerabilidades encontradas.
© 2015 - AIEC - Associação Internacional de Educação Continuada
d) Consultoria em segurança Um CSIRT pode ser utilizado para fornecer aconselhamento sobre as melhores práticas de segurança em vários ambientes, por exemplo, um ambiente militar. Esse serviço pode ser utilizado na preparação de recomendações ou na identificação de requisitos para a aquisição, instalação ou obtenção de novos sistemas, dispositivos de rede, aplicações de software ou criação de processos. Saiba+ e) Análise de riscos Um Grupo de Resposta a Incidentes pode ser capaz de acrescentar valor à análise de risco e avaliações. Isso pode melhorar a capacidade da organização para avaliar ameaças reais, fornecer avaliações qualitativas e quantitativas dos riscos para os ativos da organização e avaliar estratégias para melhor defesa. f) Planejamento e recuperação de desastres Com base em ocorrências anteriores e futuras previsões de tendências emergentes de incidentes de segurança, pode-se afirmar que quanto mais os sistemas de informação evoluem, mais aumenta a chance de acontecer um incidente. Por isso, o planejamento deve considerar os esforços e experiências passadas de um CSIRT. Saiba+ (Consultoria em segurança) Esse serviço inclui proporcionar orientação e ajuda no desenvolvimento organizacional ou no círculo de políticas de segurança. Ele pode também envolver o aconselhamento às normas legais legislativas ou de outros órgãos governamentais.
3 - NORMAS ISO/ABNT
Recomendações para determinar a melhor forma de responder a esses incidentes para garantir a continuidade das operações comerciais são prioritárias em uma organização. Grupos que realizam esse serviço estão envolvidos em continuidade de negócios e recuperação de desastres, planejamento de eventos relacionados com a segurança informática e ameaças ataques.
© 2015 - AIEC - Associação Internacional de Educação Continuada
A ABNT (Associação Brasileira de Normas Técnicas) publicou uma série de normas baseadas na ISO, traduzidas para o português. ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de segurança – Sistema de gestão da segurança da informação – Requisitos. ABNT NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. Versão atual da ISO/IEC 17799. ABNT NBR ISO/IEC 27003:2010 – Tecnologia da Informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação. ABNT NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Para aqueles que desejarem mais informação sobre esse assunto, a sugestão é consultar o site http://www.bsigroup.com/pt-BR/ISO-IEC- 27001 - Seguranca-da-Informacao/, pois lá encontrarão outras informações relevantes sobre o assunto. ABNT NBR ISO/IEC 27001: Essa norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI) documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para implementar os controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. Security Control for Computers Systems
Orange Book (Trusted Computer Evalution Criteria)
DTI cria o CCSC (Commercial Computer Security Centre - centro de segurança de informações).
CCSC e BSI lançam o BS7799:1995, Gestão de Segurança da Informação.
ISO
internacionaliza a norma BS17799, criando a ISO/IEC 17799:
© 2015 - AIEC - Associação Internacional de Educação Continuada
ABNT NBR ISO/IEC 27002:
Essa norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nessa norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão de segurança da informação. ABNT NBR ISO/IEC 27003: Essa norma foca os aspectos críticos necessários para a implantação e o projeto bem-sucedido de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27001:2006. A norma descreve o processo de especificação e projeto do SGSI desde a sua concepção até a elaboração dos planos de implantação. Ela descreve o processo de obtenção de aprovação da direção para implementar um SGSI e fornece diretrizes sobre como planejar o projeto do SGSI. ABNT NBR ISO/IEC 27005: Essa norma fornece diretrizes para o processo de gestão de riscos e segurança da informação. Norma criada para apoiar o entendimento das especificações e conceitos estabelecidos pela norma ABNT NBR ISO/IEC 27001:2006.
4 - POLÍTICAS DE SEGURANÇA
A Política de Segurança da Informação e Comunicações (POSIC) é o documento mais importante de uma organização quando se trata de Segurança da Informação. Nela estão todas as diretrizes, recomendações e deveres de todos. O profissional de segurança deve conhecer bem a política de segurança da sua instituição e deve balizar todo o trabalho em cima dela. Outras políticas associadas à POSIC tratam de assuntos mais específicos, como por exemplo: Política de Uso Aceitável (PUA); Política de Controle de Acesso (PCA);
© 2015 - AIEC - Associação Internacional de Educação Continuada físicos ( hardware ); 2) Sistemas operacionais dos servidores; 3) Servidor de aplicação; 4) Servidor HTTP;
- Aplicação web; 6) Servidor de banco de dados; 7) Segurança do hardware dos servidores; 8) Segurança do sistema operacional; 9) Segurança da aplicação através de testes de penetração; 10) Segurança da rede de comunicação. Para o desenvolvedor, a preocupação maior é com o bom funcionamento da aplicação. O profissional de segurança, por outro lado, está preocupado com a segurança da aplicação, o que envolve a segurança de cada um dos componentes envolvidos: 1) Segurança do hardware dos servidores, com garantia de fornecimento de energia por meio de fontes redundantes, nobreaks, geradores e até servidores redundantes; 2) Segurança do sistema operacional, do servidor de aplicação e do servidor web, através da configuração segura, retirada de serviços desnecessários, aplicação das últimas correções de segurança do fabricante, filtragem de portas desnecessárias, entre outros; 3) Segurança da aplicação através de testes de penetração, avaliação das possíveis vulnerabilidades, análise do código, entre outros; 4) Segurança da rede de comunicação, com avaliação da possibilidade de ataques de negação de serviço pela rede, ataques a protocolos, entre outros. O profissional de segurança deve ter conhecimento em questões de segurança física de computadores, segurança de sistemas operacionais, serviços e aplicações web, atuando com responsabilidade e sempre buscando níveis mais profundos de conhecimento. Entre os conhecimentos que um profissional de segurança deve possuir o conceito mais básico corresponda à sigla CID (Confidencialidade, Integridade, Disponibilidade). Ela é o pilar de toda a área de SI, de modo que um incidente de segurança é caracterizado quando uma dessas áreas é afetada. Além desses o profissional de segurança deve conhecer os conceitos auxiliares: Autenticidade, Legalidade, Não repúdio, Privacidade. No processo de tratamento de incidentes, todo incidente ocorrido na organização deve ser tratado de acordo com uma metodologia definida previamente. Assim, para atender ao processo de resposta a incidentes de segurança a organização deve elaborar uma metodologia visando gerenciar consequências de uma quebra de segurança. Para o tratamento devido o profissional de segurança deve conhecer as normas ISO/ABNT, por exemplos as ABNT NBR ISO/IEC 27001:2006 (SGSI) – passível de certificação; ABNT NBR ISO/IEC 27002:2005 (código de prática); ABNT NBR ISO/IEC 27005:2008 (gestão de riscos) e ABNT NBR ISO/IEC 27011:2009 (telecomunicações).
UNIDADE^1 – FUNDAMENTOS DE^ SEGURANÇA
MÓDULO^1 – INTRODUÇÃO
© 2015 - AIEC - Associação Internacional de Educação Continuada
1 - PLANEJAMENTO DE REDE SEGURA E EXPLORAÇÃO DE VULNERABILIDADES EM
REDES
Para que o processo para a elaboração de um plano seguro seja eficaz e eficiente é mister elaborar um processo de planejamento que contemple todas as etapas para tornar uma rede segura. Para esse objetivo há um processo que torna isso possível: o Plano de Rede Segura. Recomenda-se que o mesmo contenha, no mínimo, as etapas que possibilitem: uma visão geral do plano, que a execução do mesmo seja feita em etapas, que se documente todo o processo de planejamento e que se execute o plano na sua completude e plenitude. Cada uma dessas etapas pode ser discriminada como veremos a seguir.
a) Visão geral A etapa de planejamento é a mais importante na construção de um ambiente seguro de rede ou na adição de segurança a um ambiente existente. Nessa etapa o profissional vai obter uma visão geral do que está sendo pretendido. b) Execução em etapas No planejamento deve-se dividir a execução em etapas bem definidas. c) Documento de planejamento Recomenda-se que seja elaborado um documento com a descrição de tudo o que será executado, incluindo prazos, de modo que esse documento seja validado e aprovado antes de se iniciar a etapa de execução. d) Execução No planejamento, deve ser definida uma série de questões, como por exemplo: Topologia da rede em questão; Servidores e serviços públicos na internet;
