Linux e Logs: A necessidade de auditar – Parte 1

Por que auditar?

Auditar se faz necessário para certificar que as atividades dos usuários e administradores, falhas, exceções e eventos de segurança da informação estejam em conformidade com as regras de negócio e políticas (incluindo segurança da informação) estabelecidas pela empresa, além de certificar a eficácia das normas estabelecidas.

A análise de logs muitas vezes é tratada como uma tarefa de baixa prioridade pelas organizações e administradores de redes e sistemas, em muitos casos, os administradores sequer possuem recursos e treinamento para análises proativas, ou não os utilizam, por considerarem essa atividade “entediante” e menos importante que a resolução de problemas operacionais. A análise de logs acaba sendo uma atividade simplesmente reativa e improdutiva, onde se espera por uma falha ou desastre (as vezes levando a parada do total de um negócio) para solucionar um problema que em muitos casos estava sendo anunciado e “embaixo dos nossos olhos”.

O que é um log

Seguindo a definição da Wikipedia (http://pt.wikipedia.org/wiki/Log_de_dados):

log de dados é uma expressão utilizada para descrever o processo de registro de eventos relevantes em um sistema computacional. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado. Um arquivo de log pode ser utilizado para auditoria e diagnóstico de problemas em sistemas computacionais.

Portanto, através do armazenamento dos “logs”, os eventos que ocorrem nas redes e sistemas de uma organização, sendo que cada entrada contém informações sobre um evento específico, são registrados e mantidos por um período de tempo acordado para auxiliar em futuras auditorias (isso inclui também possíveis investigações), recuperação de falhas na rede ou em sistemas, e certificar o cumprimento das normas estabelecidas pelos usuários e administradores do ambiente.

Os logs asseguram, após a ocorrência de um desastre, falha ou violação de acesso, a estabelecer a situação normal de funcionamento dos sistemas, portanto, o registro de eventos em sistemas computacionais está ligado diretamente ao “Plano de continuidade de negócios”.

Conforme o “Código de prática para gestão de segurança da informação – ABNT NBR ISO/IEC 27002:2005”, é estabelecido no Item 10.10 e subitens, que os sistemas sejam monitorados e eventos de segurança da informação sejam registrados, tendo como principais objetivos:

  • Detectar atividades não autorizadas de processamento da informação;
  • Checar a eficácia dos controles adotados e para verificar a conformidade com o modelo de política de acesso;
  • Auxiliar as organizações a estarem de acordo com todos os requisitos legais relevantes aplicáveis para suas atividades.
Anúncios

Zimbra e Windows 10 : Três coisas que você precisa saber !

zimbra-no-lettermark - Copy

Olá! O Windows 10 foi lançado e como muitos usuários utilizam o SO da Microsoft para acessar o Zimbra, é preciso analisar e conhecer o impacto e novas possibilidades dessa atualização. Portanto, abaixo está a tradução de um artigo do Jorge de La Cruz, com três informações indispensáveis sobre Windows 10 e Zimbra que você deve conhecer !

  • Porta Arquivos como unidade de rede no Windows 10

Como o porta arquivos utiliza o protocolo WebDav, é possível conectar sem nenhum problema com o Windows 10, transformando-o em uma unidade de rede. Com esse método, os usuários poderão acessar seus arquivos tanto pela interface Web como pelo SO.

Zimbra-webdav-win10-002

 

No Tech Center da Zimbra a documentação completa está disponível: https://wiki.zimbra.com/wiki/WebDAV#Windows_10.2C_8.1.2C_8_and_7

  • Windows Mail APP utiizando EAS (Exchange ActiveSync)

Nas versões 8, 8.1 e 10 do Windows, quem possuem uma ferramenta nativa de E-mail, contatos e calendários, é possível utilizar esta aplicação para se conectar no Zimbra, destacando que este recurso é somente para a versão Network, licenciada, do Zimbra.

Windows10-mail-zimbra-eas-012

No Tech Center da Zimbra a documentação completa está disponível: https://wiki.zimbra.com/wiki/Windows_Mail_app_using_EAS_%28Exchange_ActiveSync%29

  • Zimbra Web Client e o novo navegador Microsoft Edge

Uma das maiores novidades do Windows 10 é o novo navegador, Microsoft Edge, conhecimento anteriormente como Projeto Spartan.

Zimbra-webclient-windows10-8.7-002

Infelizmente, o cliente WEB do Zimbra ainda não é 100% compatível com este novo navegador, porém a Zimbra está trabalhando intensamente para garantir esta compatibilidade no próximo PATCH para a versão 8.6.0 e informar todas as orientações para compatibilização também com a versão 8.0.


 

Fonte: https://www.jorgedelacruz.es/2015/07/30/windows-10-esta-aqui-tres-cosas-que-necesitas-saber-sobre-zimbra-y-windows-10/

Zimbra 8.6.0: Aplicando o Patch 3

zimbra-no-lettermark - Copy

Olá ! Nesse artigo irei abordar a aplicação do Patch 3 para a versão 8.6.0 do Zimbra. Essa atualização é altamente recomendada pois contempla diversas correções importantes, entre as quais eu gostaria de destacar:

  • Bug 71695 – Emptying the trash via IMAP moves the emptied messages to the Dumpster.
  • Bug 74953 – Mail items deleted with IMAP are automatically deleted after time duration set in zimbraMailTrashLifetime.
  • Bug 97552 – Ability to paste image from clipboard.
  • Bug 98420 – Pasting an image from the clipboard into the html editor body using Ctrl-V works correctly.
  • Bug 98512 – Fixed issue causing cursor to remain or highlighted in message body instead of ‘To’ field from HTML Compose Window
  • Bug 98584 – Fixed issue causing scroll bar issues in Move Message dialog window.
  • Bug 99629 – Chrome: Folder structure displays correctly.
  • Bug 99853 – Chrome: Login page displays correctly.

Calma jovem, irei detalhar cada bug que destaquei acima ! 

Primeiramente, sobre os Bugs 7169574953, é fundamental para quem utiliza clientes externos (IMAP) para acessar as caixas postais. O Zimbra possui o recurso de pasta de despeso (Dumpster) e ao deletar permanentemente uma mensagem via IMAP não era possível recuperar as mensagens. A outra correção é importante, é que ao remover mensagens via IMAP o atributo zimbraMailTrashLifetime também será respeitado.

Para os Bugs 9755298420, é uma correção muito importante pois trata o recurso de copiar e colar imagens do clipboard, o que facilita muito a rotina de qualquer usuário. Continuando a falar sobre a interface Web, os Bugs 98512, 98584 corrigem comportamentos que por experiência própria atrapalhavam o meu trabalho, que são: Modificação do campo do cursor para o corpo da mensagem ao invés do destinatário e a rolagem indesejada da mensagem ao abrir a mesma.

Os bugs 99629 e 99853 corrigem carregamento incorreto das pasta e página de login ao utilizar o navegador Chrome.

Para aplicar o PATCH 3, os mesmos procedimentos para o PATCH 2 devem ser aplicados:

https://respirandolinux.wordpress.com/2015/05/18/zimbra-8-6-0-aplicando-o-patch-2/

Zimbra 8.6: Entregando os SPAMs independentemente da pontuação

zimbra-no-lettermark - Copy

Olá ! Nesse artigo irei falar sobre o ajuste da ação a ser aplicada no Anti Spam do Zimbra para que a mensagem seja entregue independentemente da sua pontuação (spam score). Nesta nova versão do Zimbra o suporte à ações para mensagens com pontuação de SPAM alta foi aprimorado, permitindo que o administrador defina qual ação seja aplicada.

Essa configuração é armazenada no parâmetro zimbraAmavisFinalSpamDestiny e aceita os seguintes valores:

  • D_DISCARD: Descarta silenciosamente a mensagem (valor padrão)

  • D_PASS: Entrega a mensagem independentemente do Score.

  • D_BOUNCE: Gera um Bounce para a mensagem

  • D_REJECT: Rejeita a mensagem.

Desta forma, desejamos ajustar o parâmetro para o valor D_PASS:

zmprov mcf zimbraAmavisFinalSpamDestiny D_PASS

Zimbra 8.6/8.7/8.8: Configurando disclaimer (aviso legal) por domínio

Olá ! Nesse artigo irei falar sobre a utilização de aviso legal (Disclaimer) no Zimbra 8.6/8.7/8.8. A partir da versão 8.6 do Zimbra o suporte aos avisos legais foi aprimorado, permitindo a configuração de disclaimers por domínio. Para termos uma ideia da dimensão dessa atualização, na união europeia o uso de avisos legais é obrigatório, desta forma na versão anterior ambientes com múltiplos domínios que necessitassem de aviso legais diferentes teriam dificuldades em implementar o Zimbra.

Primeiramente, é necessário habilitar o suporte aos avisos legais:

zmprov mcf zimbraDomainMandatoryMailSignatureEnabled TRUE

Após habilitar o suporte, é necessário incluir os Disclaimer dos domínios:

zmprov md example.com zimbraAmavisDomainDisclaimerText “Disclaimer modo texto”

zmprov md example.com zimbraAmavisDomainDisclaimerHTML “Disclaimer modo HTML

Após adicionar os avisos legais, o mesmo precisa ser habilitado, também por domínio:

./libexec/zmaltermimeconfig -e example.com