GFI LANguard Network Security Scanner 6 Manuale GFI Software Ltd. GFI SOFTWARE Ltd. http://www.gfi-italia.com Email: [email protected] Le informazioni contenute nel presente documento sono soggette a modifica senza preavviso. Le società, i nomi e i dati utilizzati negli esempi sono fittizi salvo diversamente indicato. Nessuna parte del presente documento può essere riprodotta o trasmessa in alcuna forma, elettronica o meccanica, per qualsiasi scopo, senza esplicita autorizzazione scritta di GFI SOFTWARE Ltd. LANguard è copyright di GFI SOFTWARE Ltd. 2000-2004 GFI SOFTWARE Ltd. Tutti i diritti riservati. Versione 6.0 – Ultimo aggiornamento: 8 febbraio 2005 Indice Introduzione 5 Introduzione a GFI LANguard Network Security Scanner ............................................. 5 Importanza della sicurezza della rete interna ................................................................ 5 Caratteristiche principali................................................................................................. 6 Componenti di GFI LANguard N.S.S. ............................................................................ 7 Schema di Licenza......................................................................................................... 7 Installazione di GFI LANguard Network Security Scanner 9 Requisiti di Sistema........................................................................................................ 9 Procedura d’installazione............................................................................................... 9 Immissione del Codice seriale dopo l’installazione...................................................... 11 Guida introduttiva: esecuzione di un controllo 13 Introduzione alle verifiche di sicurezza ........................................................................ 13 Esecuzione di una scansione ...................................................................................... 13 Analisi dei risultati di scansione ................................................................................... 15 IP, nome della macchina, sistema operativo e livello del service pack .................................................................................................... 15 Nodo delle vulnerabilità................................................................................... 15 Il nodo delle vulnerabilità potenziali ................................................................ 17 Condivisioni..................................................................................................... 17 Politica delle password ................................................................................... 18 Registro di configurazione del sistema (Registry) .......................................... 18 Politica di controllo della sicurezza ................................................................. 19 Porte aperte .................................................................................................... 20 Utenti e Gruppi ................................................................................................ 21 Utenti collegati................................................................................................. 21 Servizi ............................................................................................................. 22 Stato dell’applicazione delle patch del sistema .............................................. 22 Dispositivi di rete ............................................................................................. 22 Dispositivi USB................................................................................................ 23 Risultati supplementari................................................................................................. 24 Computer ........................................................................................................ 25 Esecuzione di scansioni In sede (On site) o Fuori sede (Off site)............................... 25 Scansione In sede (On site)............................................................................ 25 Scansione Fuori sede (Off Site)...................................................................... 26 Confronto fra scansioni on site e off site......................................................... 26 Salvataggio e caricamento dei risultati di scansione 29 Introduzione ................................................................................................................. 29 Salvataggio dei risultati di scansioni in un file esterno................................................. 29 Caricamento dei risultati di scansione salvati .............................................................. 29 Caricamento delle scansioni salvate dal database......................................... 29 Caricamento di scansioni salvate da un file esterno....................................... 30 Risultati della scansione filtrata 31 Introduzione ................................................................................................................. 31 Manuale di LANguard Network Security Scanner Indice • i Selezione del file source dei risultati della scansione.................................................. 32 Creazione di un filtro di scansione personalizzato....................................................... 32 Configurazione di GFI LANguard N.S.S. 37 Introduzione alla configurazione di GFI LANguard N.S.S............................................ 37 Profili di scansione ....................................................................................................... 37 Porte TCP/UDP sottoposte a scansione...................................................................... 38 Come aggiungere/modificare/rimuovere delle porte....................................... 38 Dati del sistema operativo sottoposto a scansione...................................................... 39 Vulnerabilità sottoposte a scansione ........................................................................... 40 Tipi di vulnerabilità .......................................................................................... 40 Scaricamento delle vulnerabilità della sicurezza più recenti ......................... 41 Patch sottoposte a scansione ...................................................................................... 41 Opzioni dello scanner .................................................................................................. 42 Metodi di scoperta sulla rete ........................................................................... 43 Dispositivi ..................................................................................................................... 45 Dispositivi di rete ............................................................................................. 45 Dispositivi USB................................................................................................ 46 Scansioni pianificate .................................................................................................... 48 File dei parametri ......................................................................................................... 50 Utilizzazione di GFI LANguard N.S.S. dalla riga dei comandi ..................................... 51 Impiego di patch 53 Introduzione all’impiego di patch.................................................................................. 53 L’agente per l’impiego delle patch .................................................................. 53 Fase 1: effettuare una scansione della rete................................................................. 53 Fase 2: selezionare su quali macchine mettere in funzione le patch .......................... 54 Fase 3: selezionare le patch da impiegare .................................................................. 55 Fase 4: scaricare i file delle patch e dei service pack.................................................. 56 Scaricamento delle patch................................................................................ 57 Fase 5: correggere i parametri d’impiego del file......................................................... 57 Fase 6: impiegare gli aggiornamenti............................................................................ 58 Impiego di software personalizzato.............................................................................. 59 Fase 1: selezionare le macchine su cui installare il software o le patch............................................................................................................ 60 Fase 2: specificare il software da impiegare................................................... 60 Fase 3: avviare il processo d’impiego............................................................. 61 Opzioni d’impiego......................................................................................................... 62 Scheda “General” (Generale) ......................................................................... 62 Scheda “Advanced” (Opzioni avanzate) ......................................................... 63 Scheda Download Directory (Directory di scaricamento) ............................... 63 Confronto tra risultati 65 Perchè paragonare i risultati? ...................................................................................... 65 Esecuzione di un confronto tra risultati di scansioni in modo interattivo...................................................................................................................... 65 Esecuzione di un confronto tramite l’opzione delle scansioni pianificate ..................................................................................................................... 66 Monitor di stato di GFI LANguard N.S.S. 69 Visualizzazione delle operazioni pianificate................................................................. 69 Scansione pianificata attiva ............................................................................ 69 Impieghi pianificati .......................................................................................... 70 Opzioni di manutenzione del database 73 Introduzione ................................................................................................................. 73 Scheda “Change Database” (Cambia database)......................................................... 73 Indice • ii Manuale di LANguard Network Security Scanner MS Access ...................................................................................................... 73 MS SQL Server ............................................................................................... 74 Scheda “Manage Saved Scan results” (Gestisci risultati di scansione salvati).......................................................................................................................... 75 Scheda “Advanced Options” (Opzioni avanzate)......................................................... 75 Strumenti 77 Introduzione ................................................................................................................. 77 Ricerca DNS ................................................................................................................ 77 Trace Route (Tracciato del percorso) .......................................................................... 78 Whois Client (Chi è il client) ......................................................................................... 79 SNMP Walk.................................................................................................................. 79 SNMP Audit (Controllo SNMP) .................................................................................... 80 MS SQL Server Audit (Controllo di MS SQL Server)................................................... 80 Enumerate Computers (Conta computer).................................................................... 81 Lancio di una scansione per la sicurezza ....................................................... 81 Impiego di patch personalizzate ..................................................................... 82 Abilitazione di politiche di controllo ................................................................. 82 Elencazione di utenti .................................................................................................... 82 Aggiunta di controlli di vulnerabilità tramite condizioni o script 83 Introduzione ................................................................................................................. 83 Linguaggio VBscript di GFI LANguard N.S.S. ............................................................. 83 Modulo SSH di GFI LANguard N.S.S. ......................................................................... 83 Parole chiave: ................................................................................................. 84 Aggiunta di un controllo di vulnerabilità che utilizza uno script vbs personalizzato .............................................................................................................. 87 Fase 1: creazione dello script ......................................................................... 87 Fase 2: aggiunta del nuovo controllo di vulnerabilità:..................................... 88 Aggiunta di un controllo di vulnerabilità che utilizza uno script SSH personalizzato .............................................................................................................. 89 Fase 1: creazione dello script ......................................................................... 89 Fase 2: aggiunta del nuovo controllo di vulnerabilità:..................................... 90 Aggiunta di un controllo di vulnerabilità CGI................................................................ 91 Aggiunta di altri controlli di vulnerabilità....................................................................... 92 Risoluzione dei problemi 97 Introduzione ................................................................................................................. 97 Knowledgebase............................................................................................................ 97 Domande più frequenti (FAQ) generali ........................................................................ 97 Richiesta di assistenza tramite email........................................................................... 97 Richiesta di supporto tramite web-chat........................................................................ 98 Richiesta di assistenza telefonica ................................................................................ 98 Forum via web.............................................................................................................. 98 Notifiche di aggiornamento delle versioni .................................................................... 98 Indice analitico Manuale di LANguard Network Security Scanner 99 Indice • iii Introduzione Introduzione a GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) è uno strumento che permette agli amministratori di rete di effettuare un controllo di di sicurezza della rete rapidamente e con facilità. GFI LANguard N.S.S. crea rappoti che possono essere utilizzati per risolvere i problemi della sicurezza di una rete. È anche in grado di eseguire la gestione delle patch. A differenza di altri scanner per la sicurezza, GFI LANguard N.S.S. non crea una “raffica” di informazioni, virtualmente impossibile da seguire. Piuttosto, aiuta a mettere in rilievo le informazioni più importanti. Fornisce inoltre collegamenti ipertestuali a siti sicuri per saperne di più su queste vulnerabilità. Avvalendosi di una scansione intelligente, GFI LANguard N.S.S. raccoglie informazioni dalle macchine, quali nomi utente, gruppi, condivisioni di rete, dispositivi USB, dispositivi wirelesse altre informazioni trovate su un dominio Windows. A parte questo, GFI LANguard N.S.S. identifica inoltre vulnerabilità specifiche, come problemi di configurazione in server FTP, exploit in Microsoft IIS e Apache Web Server ovvero problemi di configurazione della politica di sicurezza in NT, oltre a molti altri possibili problemi di sicurezza. Importanza della sicurezza della rete interna La sicurezza della rete interna è, molto frequentemente, sottostimata dai suoi amministratori. Molto spesso, questa sicurezza non esiste nemmeno e consente ad un utente di accedere facilmente alla macchina di un altro utente, utilizzando exploit ben noti, relazioni di fiducia e impostazioni predefinite. La maggior parte di questi attacchi non richiede particolari abilità, ma mette a repentaglio l’integrità della rete. Gran parte dei dipendenti non ha bisogno di accedere nè dovrebbe avere accesso alle macchine altrui, a funzioni amministrative, dispositivi di rete e così via. Tuttavia, a causa della flessibilità richiesta per la normale gestione, le reti interne non possono permettersi una sicurezza massima. D’altro canto, senza alcuna sicurezza, gli utenti interni possono costituire una grave minaccia per molte reti aziendali interne. All'interno dell'azienda, un utente ha già accesso a molte risorse interne e non ha bisogno di superare firewall o altri meccanismi di sicurezza che impediscono a fonti non fidate, come gli utenti di Internet, di accedere alla rete interna. Tali utenti interni, dotati di Manuale di LANguard Network Security Scanner Introduzione • 5 capacità da hacker, possono penetrare ed ottenere diritti remoti di amministrazione di reti, garantendosi, allo stesso modo, che il loro abuso risulti difficile da identificare o persino da scoprire. L’80% degli attacchi di reti, infatti, ha origine all’interno del firewall (ComputerWorld, gennaio 2002). Una sicurezza della rete scarsa comporta inoltre che, se un hacker esterno riesce a penetrare nel computer della vostra rete, può accedere più facilmente al resto della rete interna. Ciò consentirebbe ad un attacker di leggere e probabilmente divulgare email confidenziali e documenti, cestinare computer, comportando la perdita di informazioni e molto altro. Per non parlare, poi, dell’utilizzo della rete e delle risorse di rete per cominciare ad attaccare altri siti, il che, una volta scoperto, farà risalire a voi e alla vostra azienda, non all’hacker. La maggioranza degli attacchi, contro exploit conosciuti, potrebbe essere riparata facilmente e quindi arrestata dagli amministratori se fossero, innanzi tutto, a conoscenza della vulnerabilità. La funzione di GFI LANguard N.S.S. è di assistere gli amministratori nell’identificazione di tali vulnerabilità. Caratteristiche principali 6 • Introduzione • Scopre servizi pericolosied apre porte TCP e UDP. • Individua CGI, DNS, FTP, Posta, RPC e altre vulnerabilità conosciute. • Rileva dispositivi wireless. • Individua il file Rogue oppure utenti back door • Individua condivisioni aperte ed elenca coloro che hanno accesso a tali condivisioni insieme alle rispettive autorizzazioni. • Elencazione di gruppi, compresi i membri del gruppo. • Elencazione di utenti, servizi, ecc. • Elencazione di dispositivi USB. • Elencazione di dispositivi di rete e identificazione del tipo di dispositivo (cablato, wireless, virtuale) • Può effettuare Scansioni pianificate. • Aggiorna automaticamente Sicurezza. • Capacità di individuare hotfix e service pack mancanti nel sistema operativo. • Capacità di individuare hotfix e service pack mancanti nelle applicazioni supportate. • Capacità di salvare e caricare i risultati di scansione. • Capacità di eseguire confronti tra scansioni e apprendere nuovi possibili punti di entrata. • Capacità di applicare patch al sistema operativo (sistemi Windows in lingua inglese, francese, tedesca, italiana, spagnola) e ad applicazioni Office (in lingua inglese, francese, tedesca, italiana, spagnola). i controlli di vulnerabilità della Manuale di LANguard Network Security Scanner • Identificazione del sistema operativo.Individuazione del live host. • Uscite database, HTML, XSL e XML. • Controllo di SNMPe MS SQL. • Compatibile con il linguaggio di scritp VBscript per realizzare controlli di vulnerabilità personalizzati. • Modulo SSH che consente l’esecuzione di script di sicurezza su macchine Linux e Unix. • Scansione di più computer contemporaneamente. Componenti di GFI LANguard N.S.S. GFI LANguard N.S.S. è basato su un'architettura di tipo aziendale ed è composto dei seguenti elementi GFI LANguard Network Security Scanner Si tratta dell’interfaccia principale del prodotto. Utilizzare quest’applicazione per visualizzare i risultati della scansione in tempo reale, configurando le opzioni e i profili di scansione, i rapporti dei filtri, l’utilizzo di strumenti amministrativi specializzati della sicurezza e molto altro. Servizio di supervisione di GFI LANguard N.S.S. Questo servizio esegue scansioni pianificate della rete e impieghi programmati delle patch. Funziona in background. Servizio di agente delle patch di GFI LANguard N.S.S. Questo servizio è messo in funzione sulle macchine target sulle quali devono essere impiegati una patch, un service pack o un software e si occupa dell’effettiva installazione della patch, del service pack o del software. GFI LANguard N.S.S. Script Debugger Utilizzare questo modulo per scrivere/correggere script personalizzati creati. Monitor di GFI LANguard N.S.S. Utilizzare questo modulo per monitorare lo stato delle scansioni pianificate e gli aggiornamenti software correnti. È inoltre possibile arrestare operazioni pianificate che non sono ancora state eseguite. Schema di Licenza Lo schema di concessione delle licenze di GFI LANguard N.S.S. dipende dal numero di macchine e dispositivi che si desidera sottoporre a scansione. Ad esempio, la licenza 100 IP consente di effettuare la scansione fino a 100 macchine o dispositivi da una singola stazione di lavoro o server della rete. Manuale di LANguard Network Security Scanner Introduzione • 7 Installazione di GFI LANguard Network Security Scanner Requisiti di Sistema L’installazione di GFI LANguard Network Security Scanner richiede i seguenti requisiti di sitema: • Windows 2000/2003 o Windows XP • Internet Explorer 5.1 o superiore • Installazione del client per reti Microsoft • Durante le scansioni, NON è consentita l’esecuzione di software di firewall personali oppure Windows XP Internet Connection Firewall Possono infatti bloccare la funzionalità di GFI LANguard N.S.S. NOTA: informazioni più dettagliate sulle modalità di configurazione delle politiche di Active Directory, affinché supporti la scansione di o da computer Windows XP con Service pack 2, sono disponibili sul sito: http://kbase.gfi.com/showarticle.asp?id=KBID002177. • Per impiegare patch su macchine remote sono richiesti privilegi di amministratore Procedura d’installazione 1. Eseguire il programma d’installazione di LANguard Network Security Scanner facendo doppio clic sul file “languardnss6.exe”. Confermare che si desidera installare GFI LANguard N.S.S. Viene quindi avviato il programma d’installazione guidata (wizard). Fare clic su Avanti. 2. Dopo aver letto il Contratto di licenza nella finestra di dialogo, fare clic su Yes (Sì) per accettare le condizioni contrattuali e proseguire con l’installazione. 3. La procedura d’installazione richiede le informazioni sull’utente e il codice seriale Manuale di LANguard Network Security Scanner Installazione di GFI LANguard Network Security Scanner • 9 Indicazione delle credenziali dell’amministratore del dominio o utilizzazione di un account di sistema locale 4. La procedura d'installazione richiede le credenziali dell’amministratore del dominio, che saranno utilizzate dal servizio di supervisione di LANguard N.S.S (LANguard N.S.S Attendant), esecutore delle scansioni pianificate. Immettere le credenziali richieste e fare clic su Next (Avanti). Scelta del terminale database 5. La procedura d’installazione richiede di scegliere il terminale database per il database GFI LANguard N.S.S. Scegliere tra Microsoft Access o Microsoft SQL Server\MSDE e fare clic su Next (Avanti). NOTA: Il Server/MSDE SQL deve essere installato in modalità mista o di autenticazione del server SQL. Non è supportata la sola modalità di autenticazione NT. 10 • Installazione di GFI LANguard Network Security Scanner Manuale di LANguard Network Security Scanner 6. Se si seleziona Microsoft SQL Server/MSDE come terminale database, verranno richieste le credenziali SQL da utilizzare per accedere al database. Fare clic su Next (Avanti) per continuare. 7. La procedura d’installazione richiede l’indirizzo email di un amministratore ed il nome del server di posta. Tali impostazioni verranno utilizzate per inviare messaggi amministrativi di allerta. 8. Scegliere la locazione di destinazione di GFI LANguard N.S.S. e fare clic su Next (Avanti). GFI LANguard N.S.S. richiede circa 40 MB di spazio libero sul disco fisso. 9. Dopo che GFI LANguard N.S.S. è stato installato, è possibile eseguire GFI LANguard Network Security Scanner dal menu di avvio. Immissione del Codice seriale dopo l’installazione Se GFI LANguard N.S.S. è stato acquistato, è possibile inserire il Codice seriale nel nodo General > Licensing (Generale > Licenza). Se si sta valutando GFI LANguard N.S.S., il periodo di valutazione (con il relativo codice) ha una durata di 60 giorni. Se si decide in seguito di acquistare GFI LANguard N.S.S., inserire il Codice seriale in questo punto, senza reinstallare il prodotto. Si deve ottenere un numero di licenze di GFI LANguard N.S.S. pari al numero di macchine che si desidera sottoporre a scansione e al numero di macchine sulle quali si desidera installarlo. Se ci sono 3 amministratori che utilizzano GFI LANguard N.S.S., allora si devono acquistare 3 licenze. L’immissione del Codice seriale non va confusa con la procedura di registrazione dei dati dell’azienda sul nostro sito Web. Questa seconda fase è molto importante in quanto ci consente di fornire l’assistenza e comunicare notizie importanti relative al prodotto. Effettuare la registrazione sulla pagina web: http://www.gfi-italia.com/pages/regfrm.htm Nota: per scoprire come acquistare GFI LANguard N.S.S., seguire il nodo General > How to purchase (Generale > Come acquistare). Manuale di LANguard Network Security Scanner Installazione di GFI LANguard Network Security Scanner • 11 Guida introduttiva: esecuzione di un controllo Introduzione alle verifiche di sicurezza Il controllo delle risorse di rete consente all'amministratore di identificare eventuali rischi all'interno della rete. Un controllo manuale richiederebbe molto tempo, a causa delle attività e delle procedure ripetitive da effettuare su ogni macchina della rete. GFI LANguard N.S.S. rende automatico il processo di controllo della sicurezza e identifica facilmente vulnerabilità comuni nell’ambito della rete in tempi rapidi. Nota: se la propria azienda utilizza un qualunque tipo di software per la scoperta di intrusioni (Intrusion Detection Software – IDS), si tenga presente che l’utilizzo di LANguard Network Security Scanner attiverà quasi tutti i segnalatori acustici (campanelli e fischietti) in esso contenuti. Se non si è responsabili del sistema IDS, assicurarsi di informare l’amministratore di quella casella o di quelle caselle sulla scansione che si sta per effettuare. Oltre all'avvertenza relativa al software IDS, si tenga presente che verranno mostrate molte scansioni negli archivi storici (log file) per tutte le categorie. I log Unix, i server web, ecc. illustreranno il tentativo messo in atto dalla macchina che esegue LANguard Network Security Scanner. Se non si è l’unico amministratore presso la propria sede, assicurarsi che gli altri amministratori siano informati delle scansioni che si stanno per effettuare. Esecuzione di una scansione Il primo passo da compiere quando si comincia un controllo della rete, consiste nell’effettuare una scansione delle macchine e dei dispositivi di rete correnti. Per iniziare una nuova scansione della rete, procedere come segue: 1. Fare clic su File > New (File > Nuovo). 2. Selezionare l’oggetto della scansione. Si può scegliere fra le seguenti opzioni: a. Scan one Computer (Esegui la scansione di un computer). Viene eseguita la scansione di una singola macchina. b. Scan Range of Computers (Esegui la scansione di una serie di computer). Viene eseguita la scansione di una serie di IP specificata. c. Scan List of Computers (Esegui la scansione di un elenco di computer). Viene eseguita la scansione di un elenco di Manuale di LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo • 13 computer personalizzato. È possibile aggiungere computer all’elenco selezionandoli da un elenco di computer contati, immettendoli uno per uno oppure importando l’elenco da un file di testo. d. Scan a Domain (Esegui la scansione di un dominio). Viene eseguita la scansione di un intero dominio di Windows. e. Scan favorites (Esegui la scansione dei preferiti). Viene eseguita la scansione di macchine preferite specificate in precedenza dall’utente utilizzando il pulsante Add to favorites (Aggiungi a preferiti). 3. Imputare l’intervallo d'inizio e fine della rete di cui effettuare la scansione in base a ciò che si intende sottoporre a scansione. 4. Selezionare Start Scan (Avvia scansione). Esecuzione di una scansione LANguard Network Security Scanner effettua ora una scansione. Innanzi tutto, individua quali host/computer sono accesi ed effettua la scansione solo di questi. Ciò avviene utilizzando prove NETBIOS, interrogativi (query) ping ICMP e SNMP Se un dispositivo non risponde ad una sua richiesta, GFI LANguard N.S.S. presume, per il momento, che il dispositivo non esista a tale indirizzo IP specifico ovvero che sia spento. Nota: Se si intende forzare una scansione su IP che non rispondono, consultare il capitolo “Configurazione delle opzioni di scansione” per ulteriori informazioni sulle modalità di tale configurazione. 14 • Guida introduttiva: esecuzione di un controllo Manuale di LANguard Network Security Scanner Analisi dei risultati di scansione Analisi dei risultati Dopo la scansione, risultano visualizzati dei nodi sotto ciascuna macchina trovata da GFI LANguard N.S.S. Il pannello di sinistra elenca tutte le macchine e i dispositivi di rete. L’espansione di una voce dell’elenco espone una serie di nodi con le informazioni trovate su tale macchina o dispositivo di rete. Facendo clic su un dato nodo, nel pannello di destra vengono visualizzate le informazioni sottoposte a scansione. Quando GFI LANguard N.S.S. esegue una prova di rete, trova tutti i dispositivi di rete accesi in quel momento. Secondo il tipo di dispositivo e di interrogativi cui questo ha risposto, viene determinato il modo in cui GFI LANguard N.S.S. lo identifica e quali informazioni è in grado di acquisire. Una volta che GFI LANguard N.S.S. ha terminato la scansione della macchina, dispositivo o rete, visualizza le seguenti informazioni: IP, nome della macchina, sistema operativo e livello del service pack Viene mostrato l’indirizzo IP della macchina o dispositivo. Viene poi mostrato il nome del DNS NetBIOS, secondo il tipo di dispositivo. GFI LANguard N.S.S. indica quale sistema operativo è in esecuzione sul dispositivo e, se si tratta di Windows NT/2000/XP/2003, indica il livello di service pack. Nodo delle vulnerabilità Il nodo delle vulnerabilità visualizza i problemi di sicurezza individuati e suggerisce la maniera per risolverli. Queste minacce possono comprendere patch e service pack mancanti, problemi di HTTP, messaggi di allerta di NETBIOS, problemi di configurazione e così via. Manuale di LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo • 15 Le vulnerabilità sono suddivise nelle seguenti sezioni: service pack mancanti, patch mancanti, vulnerabilità della sicurezza elevate, vulnerabilità della sicurezza medie e vulnerabilità della sicurezza basse. Sotto ciascuna sezione delle vulnerabilità della sicurezza Elevate/Medie/Basse, si trovano ulteriori categorie dei problemi individuati, con i seguenti raggruppamenti: abusi CGI, vulnerabilità FTP, vulnerabilità DNS, vulnerabilità della posta, vulnerabilità RPC, vulnerabilità di servizio, vulnerabilità del Registro di configurazione del sistema (Registry) e vulnerabilità varie. Una volta completata la scansione, cioè dopo che le varie vulnerabilità risultano elencate, fare doppio clic (o fare clic con il tasto destro del mouse su > More Details…- Ulteriori dettagli) sulla vulnerabilita interessata per visualizzare la finestra di dialogo delle sue proprietà. Da tale finestra di dialogo è possibile indagare immediatamente su importanti informazioni relative alle ragioni che hanno determinato il rilevamento della vulnerabilità, come pure su informazioni di accesso quali una descrizione più approfondita della vulnerabilità che non viene visualizzata nell’albero dei risultati. Nella finestra di dialogo delle proprietà della vulnerabilità sono disponibili le informazioni seguenti: • Nome • Descrizione sintetica • Livello di sicurezza • URL • Tempo impiegato per eseguire il controllo • Controlli (per determinare se la macchina target sia vulnerabile a tale controllo) • Descrizione approfondita Patch mancanti - GFI LANguard N.S.S. ricerca eventuali patch mancanti confrontando le patch installate con le patch disponibili di un determinato prodotto. Se sulla macchina mancano eventuali patch, si dovrebbe visualizzare una schermata simile alla seguente: Innanzi tutto, informa per quale prodotto è la patch. Se si espande il nodo, si potrà visualizzare la patch specifica mancante e un collegamento al sito da cui scaricare quella particolare path. Abusi CGI - Descrivono problemi relativi a server Apache, Netscape, IIS e altri server web. Le vulnerablità FTP, DNS, di posta, RPC e varie forniscono collegamenti a Bugtrag ed altri siti per la sicurezza, in modo che sia 16 • Guida introduttiva: esecuzione di un controllo Manuale di LANguard Network Security Scanner possibile cercare ulteriori informazioni sul problema scoperto da GFI LANguard N.S.S. Le vulnerabilità di servizio possono essere molte cose. Praticamente tutto, dai servizi effettivi in esecuzione sul dispositivo in questione agli account elencati su una macchina che non sia mai stata usata. Le vulnerabilità del Registro di configurazione del sistema (Registry) coprono informazioni tratte da una macchina Windows quando GFI LANguard N.S.S. effettua la scansione iniziale. Forniscono un collegamento al sito di Microsoft o ad altri siti dedicati alla sicurezza, che spiegano perché tali impostazioni del registro di configurazione del sistema (Registry) devono essere modificate. Le vulnerabilità d’informazione sono messaggi di allerta aggiunti al database, e costituiscono dei problemi piuttosto importanti da sottoporre all'attenzione degli amministratori, ma non sempre sono dannosi se vengono lasciati in sospeso. Il nodo delle vulnerabilità potenziali Il nodo delle vulnerabilità potenziali visualizza problemi di sicurezza possibili, informazioni cruciali e anche alcuni controlli che non riportano vulnerabilità. Ad esempio, se non è possibile determinare se una particolare patch sia installata, questa sarà elencata nel nodo delle patch non individuabili (Non-detectable patches). Tali vulnerabilità potenziali devono essere riviste dall’amministratore. Il nodo delle vulnerabilità potenziali Condivisioni Il nodo delle condivisioni elenca tutte le condivisioni presenti su una macchina e coloro che hanno accesso ad una condivisione. Tutte le condivisioni di rete devono essere protette in maniera opportuna. Gli amministratori devono accertarsi che: Manuale di LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo • 17 1. Nessun utente condivida il proprio drive con altri utenti. 2. Non sia consentito l’accesso anonimo o non autenticato alle condivisioni. 3. Le cartelle di avvio o i file di sistema simili non siano condivise. Questo può consentire ad un numero inferiore di utenti privilegiati di eseguire codici sulle macchine target. Quanto sopra è molto importante per tutte le macchine, ma, in particolare, per macchine che sono cruciali per l’integrità del sistema, quali il Public Domain Controller (PDC - Controllore del dominio pubblico). Si immagini un amministratore che condivida la cartella di avvio (o una cartella contenente la cartella di avvio) sul PDC con tutti gli utenti. In possesso delle giuste autorizzazioni, gli utenti potrebbero copiare facilmente degli eseguibili nella cartella di avvio, che verrebbero eseguiti al successivo accesso interattivo dell’amministratore. Nota: se si effettua la scansione avendo avuto accesso come amministratore, si possono visualizzare le risorse amministrative condivise, ad esempio, “C$ - default share”. Tali condivisioni non saranno disponibili per i normali utenti. Considerando il modo in cui Klez ed altri nuovi virus cominciano a propagarsi, cioè tramite l’utilizzo di condivisioni aperte, tutte le condivisioni non necessarie dovrebbero essere disattivate, mentre tutte le condivisioni necessarie dovrebbero essere protette da password. NOTA: è possibile disabilitare iil rapporto delle risorse amministrative condivise mediante la modifica dei profili di scansione dal nodo Configuration > Scanning Profiles > OS Data > Enumerate Shares (Configurazione > Profili di scansione > Dati del sistema operativo > Conta condivisioni). Politica delle password Questo nodo consente di controllare se la politica delle password è sicura. Ad esempio, abilita una validità massima per la password e la cronologia della password. La lunghezza minima della password deve essere pratica, tipo 8 caratteri. Se si è dotati di Windows 2000, è possibile abilitare una politica delle password sicura, su tutta la rete, avvalendosi degli GPO (Group Policy Objects) (Oggetti Criteri di Gruppo) contenuti in Active Directory. Registro di configurazione del sistema (Registry) Questo nodo fornisce informazioni fondamentali sul registro di configurazione del sistema (Registry) remoto. Fare clic sul nodo Run (Esegui) per controllare quali programmi sono lanciati automaticamente all’Avvio. Controlla che i programmi lanciati automaticamente non siano Trojan o addirittura programmi validi che forniscano l’accesso remoto ad una macchina, qualora tale software non sia consentito sulla propria rete. Qualunque tipo di software per Accesso remoto può rivelarsi una backdoor, che un hacker potenziale può usare per guadagnare l’accesso. NOTA: è possibile modificare e mantenere l’elenco di chiavi e valori del registro di configurazione del sistema con la modifica del file XML 18 • Guida introduttiva: esecuzione di un controllo Manuale di LANguard Network Security Scanner "toolcfg_regparams.xml", che “%LNSS_INSTALL_DIR%\Data. si trova nella directory Politica di controllo della sicurezza Questo nodo mostra quali politiche di controllo della sicurezza sono attivate sulla macchina remota. Si consiglia l’utilizzo delle seguenti politiche di controllo: Politica di controllo Esito positivo Esito negativo Eventi di accesso all’account Sì Sì Gestione dell’account Sì Sì Accesso al servizio di Directory Sì Sì Eventi di accesso Sì Sì Accesso all’oggetto Sì Sì Modifica della politica Sì Sì Utilizzo di privilegi No No Tracciabilità del processo No No Eventi di sistema Sì Sì È possibile abilitare il controllo direttamente da GFI LANguard N.S.S. Fare clic con il tasto destro del mouse su uno dei computer del pannello di sinistra e selezionare “Enable auditing” (Abilita il controllo). Verrà visualizzato il programma di amministrazione guidata della politica di controllo. Specificare le politiche di controllo da attivare. Esistono 7 politiche di controllo della sicurezza in Windows NT e 9 in Windows 2000. Abilitare le politiche di controllo desiderate sui computer da monitorare. Fare clic su Next (Avanti) per attivare le politiche di controllo. Abilitazione delle politiche di controllo su macchine remote. Manuale di LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo • 19 Se non si riscontrano errori, viene visualizzata la pagina Finish (Fine). Se si verifica un errore, allora viene visualizzata un’altra pagina che indica su quali computer l’applicazione delle politiche ha avuto esito negativo. Finestra di dialogo dei risultati del wizard della politica di controllo Porte aperte Il nodo delle porte aperte elenca tutte le porte aperte trovate sulla macchina (tale nodo è denominato scansione delle porte). GFI LANguard N.S.S. effettua una scansione selettiva delle porte, cioè, non effettua la scansione di tutte le 65.535 porte TCP e di tutte le 65.535 porte UDP per impostazione predefinita, ma solo delle porte per le quali è stato configurato. È possibile configurare le porte che Per ulteriori informazioni, consultare il capitolo “Configurazione delle opzioni di scansione, configurazione delle porte da sottoporre a scansione”. Ogni porta aperta rappresenta un servizio o un’applicazione; se uno di questi servizi può essere “sfruttato”, l’hacker è in grado di guadagnare l’accesso a quella macchina. Pertanto, è importante chiudere eventuali porte non necessarie. Nota: sulle reti Windows, le porte 135, 139 e 445 sono sempre aperte. GFI LANguard N.S.S. mostra queste porte come aperte e, se la porta è considerata una porta Trojan conosciuta, GFI LANguard N.S.S. la visualizzerà in ROSSO, altrimenti in VERDE. La seguente schermata consente di vedere quanto sopra descritto: Nota: anche se una porta è visualizzata in ROSSO come una possibile porta Trojan, questo non significa che un programma back 20 • Guida introduttiva: esecuzione di un controllo Manuale di LANguard Network Security Scanner door sia in effetti installato sulla macchina. Alcuni programmi validi usano le stesse porte di alcuni Trojan conosciuti. Un programma antivirus utilizza la stessa porta conosciuta del virus NetBus Backdoor. Pertanto, si prega di verificare sempre le informazioni del banner fornite e di eseguire controlli su tali macchine. Utenti e Gruppi Questi nodi mostrano i gruppi e gli utenti locali disponibili sul computer. Controllano la presenza di ulteriori utenti e verificano che l’account Guest (Ospite) sia disabilitato. Utenti e gruppi pericolosi possono consentire l’accesso a back door! Alcuni programmi back door abilitano nuovamente l’account Guest (Ospite) e gli attribuiscono diritti amministrativi; pertanto, si prega di controllare i dettagli del nodo degli utenti per vedere l’attività di tutti gli account e i relativi diritti. Idealmente, l’utente non dovrebbe utilizzare un account locale per l’accesso, ma dovrebbe effettuare il login ad un Dominio o ad un account di Active Directory. L’ultima cosa importante da controllare è di assicurarsi che la password non sia troppo vecchia. Utenti collegati Questo nodo visualizza l’elenco di utenti collegati in quell momento alla macchina target. L’elenco è suddiviso in due sezioni: Locally logged On User (Utenti collegati localmente) Questa categoria comprende tutti gli utenti che hanno avviato una sessione a livello locale. Essa visualizza le seguenti informazioni su ciascun utente collegato, laddove esse siano disponibili: 1. data e ora di accesso 2. tempo trascorso Remote Logged On Users (Utenti collegati in remoto) Questa categoria comprende tutti gli utenti che hanno avviato una sessione sulla macchina target in modalità remota. Essa visualizza le seguenti informazioni su ciascun utente collegato, laddove esse siano disponibili: 1. data e ora di accesso 2. tempo trascorso 3. periodo di inattività 4. tipo di client 5. trasporto Information fields legend: (Legenda dei campi di informazione) Data e ora di accesso indicano la data e l’ora in cui l’utente si è collegato sulla machine target. Questo campo è valido per le connessioni sia locali sia remote. Manuale di LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo • 21 Tempo trascorso: indica il periodo di tempo in cui l’utente è stato collegato alla macchina. Questo campo è valido per le connessioni sia locali sia remote. Periodo di inattività: indica il periodo di inattività della conessione dell’utente. Il periodo di inattività si riferisce alla completa inattività dell’utente o della connessione. Questo campo è valido unicamente per le connessioni remote. Tipo di client: indica la piattaforma utilizzata dall’utente per effettuare la connessione remota. In generale si riferisce al sistema operative installato sulla macchina che ha iniziato la connessione. Questo campo è valido unicamente per le connessioni remote. Trasporto: indica il tipo di servizio utilizzato per iniziare la connessione. Questo campo è valido unicamente per le connessioni remote. Servizi Vengono elencati tutti i servizi presenti sulla macchina. Verificare i servizi in esecuzione da abilitare e disabilitare tutti i servizi che non sono richiesti. Si tenga presente che ciascun servizio può costituire potenzialmente un rischio per la sicurezza e anche una falla nel sistema. Con la chiusura o la disattivazione di servizi non necessari, i rischi per la sicurezza si riducono automaticamente. Stato dell’applicazione delle patch del sistema Questo nodo mostra quali patch sono installate e registrate sulla macchina remota. Dispositivi di rete Questo nodo mostra un elenco di tutti i dispositivi di rete installati sul sistema. I dispositivi sono classificati come segue: • Dispositivi fisici - cablati • Dispositivi fisici - wireless • Dispositivi virtuali 22 • Guida introduttiva: esecuzione di un controllo Manuale di LANguard Network Security Scanner Dispositivi di rete individuati Per ogni dispositivo vengono riportate le seguenti proprietà (laddove disponibili): • Indirizzo MAC • Indirizzo/i IP assegnato/i • Nome dell’host • Dominio • Dati DHCP • WEP (Wireless Encryption Protocol) (laddove disponibile) • SSID (Service Set Identification) (laddove disponibile) • Gateway • Stato NOTA: controllare con regolarità i dispositivi di rete. Dispostivi wireless pericolosi possono essere utilizzati per compromettere la sicurezza della rete sia all’interno sia all’esterno della sede aziendale. Dispositivi USB Questo nodo elenca tutti i dispositivi USB collegati al computer target in quel momento. Utilizzare questo nodo per verificare che non sia collegato alcun dispositivo non autorizzato. I dispositivi di memoria rimovibili costituiscono un notevole rischio per la sicurezza della rete. Pertanto, cercare di stare molto attenti a questi dispositivi. Un altro grosso rischio per la sicurezza da verificare è dato dagli adattatori wireless USB, quali i dongle Bluetooth, in grado di permettere agli utenti di trasferire file non autorizzati tra le loro stazioni di lavoro e dispositivi personali come cellulari, palmari e dispositivi abilitati con Bluetooth. Manuale di LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo • 23 Elenco di dispositivi USB rilevati sul computer target NOTA: è possible configurare GFI LANguard N.S.S. affinché riporti come “vulnerabilità critica” i dispositivi USB non autorizzati (ad esempio, "USB Mass Storage Device" - “Dispositivo di memoria di massa USB”). È possibile configurare quali dispositivi GFI LANguard N.S.S. deve riportare come vulnerabilità critica dal nodo Configuration > Scanning Profiles > Devices > USB Devices (Configurazione > Profili di scansione > Dispositivi > Dispositivi USB). Dispositivi USB pericolosi elencati come Vulnerabilità critica Risultati supplementari Questa sezione elenca i nodi e i risultati supplementari che è possibile controllare dopo aver effettuato la revisione dei risultati di scansione più importanti menzionati in precedenza. 24 • Guida introduttiva: esecuzione di un controllo Manuale di LANguard Network Security Scanner Nomi NETBIOS In questo nodo si trovano i dettagli dei servizi installati sulla macchina. Computer MAC – Si tratta dell’indirizzo MAC della scheda di Rete. Nome utente – Si tratta del nome utente dell’utente collegato in quel momento o del nome utente della macchina. TTL – Il valore di Time to Live (TTL) (Durata in vita) è specifico per ogni dispositivo. I valori principali sono 32, 64, 128 e 255. Sulla base di questi valori e del TTL effettivo del pacchetto, si ha un’idea della distanza (numero di router hop - salti) tra la macchina GFI LANguard N.S.S. e la macchina target che è stata appena sottoposta a scansione. Utilizzo del computer – Informa se la macchina target è una Stazione di lavoro o un Server. Dominio – Se la macchina target fa parte di un dominio, questo fornirà un elenco dei Domini fidati. Se non fa parte di un Dominio, verrà visualizzata la stazione di lavoro di cui la macchina fa parte. Gestore LAN – Indica Gestore LAN in uso (e il sistema operativo). Sessioni Questo nodo visualizza l’indirizzo IP di macchine che erano collegate alla macchina target all’epoca della scansione. Nella maggioranza dei casi, tale indirizzo è proprio quello della macchina che esegue LANguard N.S.S. e che ha effettuato delle connessioni di recente. Nota: a causa del costante cambiamento di questo valore, tale dato non è salvato nel rapporto, ma è presente unicamente a fini informativi. Dispositivi di rete Questo nodo fornisce un elenco di dispositivi di rete disponibili sulla macchina target. Indicazione oraria (TOD) remota Indicazione oraria remota. Si tratta dell’orario della rete sulla macchina target, di solito impostato dal Controllore di dominio. Esecuzione di scansioni In sede (On site) o Fuori sede (Off site) Si consiglia di eseguire GFI LANguard N.S.S. in due modi, le cosiddette scansioni In sede e Fuori sede. Scansione In sede (On site) Impostare una macchina su cui sia installato LANguard Network Security Scanner. Effettuare una scansione della rete con una “NULL session” (Sessione NULLA) (Selezionare “Null Session” (Sessione nulla) dall’elenco a discesa). Una volta effettuata la prima scansione, cambiare il valore della casella dell’elenco a discesa in Currently logged on user (Utente Manuale di LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo • 25 attualmente collegato) (se si dispone di diritti amministrativi al dominio) oppure in Alternative credentials (Credenziali alternative) che dispongano di diritti amministrativi al Dominio o all’Active Directory. Salvare questa seconda scansione per confronti futuri. Con l’opzione “NULL session” (Sessione NULLA), è possibile visualizzare ciò che appare a qualsiasi utente che si stia collegando alla rete tramite una connessione “NULLA”. La scansione munita di diritti amministrativi aiuta a mostrare tutti gli hotfix e le patch mancanti sulla macchina. Scansione Fuori sede (Off Site) Se si è dotati di un account di linea commutata esterno oppure di un accesso ad Internet ad alta velocità non legati all’azienda, si vorrà effettuare la scansione della propria rete dal “mondo esterno”. Effettuare una scansione della rete mediante una “NULL session” (Sessione NULLA). Ciò consente di visualizzare ciò che chiunque vedrebbe da Internet se o quando dovesse effettuare la scansione della rete. Elementi che possono influire su tale scansione sono gli eventuali firewall installati dalla propria azienda o dal proprio ISP, ovvero eventuali regole di un instradatore (router) che potrebbe non trasferire determinati tipi di pacchetti. Salvare questa scansione per confronti futuri. Confronto fra scansioni on site e off site È ora il momento di dare un’occhiata alle informazioni generate da LANguard Network Security Scanner. Se la scansione di “NULL session” effettuata dalla rete interna sembra identica a quella esterna, forse non esistono firewall o dispositivi di filtraggio sulla propria rete. Si tratta probabilmente di una delle prime cose da esaminare. Quindi, verificare ciò che eventuali utenti dal mondo esterno possono effettivamente visualizzare. Possono visualizzare i controllori di dominio ed ottenere un elenco di tutti gli account del computer? E per quanto riguarda i server Web, FTP, ecc.? A questo punto, bisogna “cavarsela da soli”. Si può cominciare controllando le patch per server Web, FTP, ecc. Si può inoltre verificare e modificare le impostazioni sui server SMTP. Ogni rete è diversa. GFI LANguard N.S.S. cerca di aiutare l’utente a individuare con esattezza i problemi della sicurezza e di condurlo su siti che aiutano a riparare le falle individuate. Se si scopre che sono in esecuzione servizi non richiesti, assicurarsi di disattivarli. Ogni servizio costituisce un possibile rischio per la sicurezza, che potrebbe permettere a soggetti non autorizzati di penetrare nella propria rete. Ogni giorno vengono rilasciati nuovi buffer overflow ed exploit e, anche se la rete sembra ed è sicura oggi, ciò non significa che lo sarà domani. Assicurarsi di effettuare scansioni per la sicurezza di tanto in tanto. Non si tratta di qualcosa da fare una volta e poi dimenticarsene. C’è sempre qualcosa di nuovo là fuori e, di nuovo, solo perché si è sicuri 26 • Guida introduttiva: esecuzione di un controllo Manuale di LANguard Network Security Scanner oggi, non si sa mai cosa saranno in grado di escogitare gli hacker domani. Manuale di LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo • 27 Salvataggio e caricamento dei risultati di scansione Introduzione Una volta completata una scansione della sicurezza, GFI LANguard N.S.S. salva automaticamente i risultati ne suo terminale database (MS Access/MS SQL Server). È inoltre possible salvare i risultati di scansione in un file XML esterno. I risultati di scansione salvati possono essere ricaricati nell’interfaccia utente di GFI LANguard N.S.S. per elaborazioni ulteriori o confronti fra risultati. Il caricamento dei risultati di scansione salvati è molto utile quando si devono eseguire rapporti o impiegare patch su un sistema invariato che non richiede di dover essere nuovamente sottoposto a scansione. Salvataggio dei risultati di scansioni in un file esterno Una volta completata una scansione della sicurezza d parte di GFI LANguard N.S.S., i risultati sono già stati salvati nel terminale database. Per salvarli in un file esterno, procedere come segue: • Aprire File > Save scan results… (File > Salva risultati di scansione…) • Accettare il nome file predefinito o specificarne uno diverso. • Fare clic su Save… (Salva…) Caricamento dei risultati di scansione salvati Caricamento delle scansioni salvate dal database LNSS archivia nel database le ultime 30 scansioni effettuate sullo stesso target con il medesimo profolo. Per ricaricare un file di risultati di scansione salvato dal database, procedere come segue: 1. Fare clic con il tasto destro del mouse su GFI LANguard N.S.S. > Security Scanner (GFI LANguard N.S.S. > Scanner di sicurezza) 2. Load saved scan results from… > Database (Carica i risultati di scansione salvati da… > Database). Viene visualizzata la finestra di dialogo “Select scan result” (Seleziona i risultati di scansione). 3. Seleziona dall’elenco la scansione da ricaricare. 4. Fare clic su OK. Manuale di LANguard Network Security Scanner Salvataggio e caricamento dei risultati di scansione • 29 Risultati di scansione salvati ricaricati nell’interfaccia utente principale. Caricamento di scansioni salvate da un file esterno Per ricaricare un file di risultati di scansione salvato da un file esterno, procedere come segue: 1. Fare clic con il tasto destro del mouse su GFI LANguard N.S.S. > Security Scanner (GFI LANguard N.S.S. > Scanner di sicurezza) 2. Load saved scan results from… > XML (Carica i risultati di scansione salvati da… > XML). Viene visualizzata la finestra di dialogo “Select scan result” (Seleziona i risultati di scansione). 3. Selezionare la scansione da ricaricare. 4. Fare clic su OK. 30 • Salvataggio e caricamento dei risultati di scansione Manuale di LANguard Network Security Scanner Risultati della scansione filtrata Introduzione Dopo aver effettuato una scansione, GFI LANguard N.S.S. riporta i risultati nel pannello “Scan results” (Risultati della scansione). Se si è effettuata la scansione di molte macchine, si potrebbe voler filtrare quei dati dal nodo “Scan filtrers” (Filtri di scansione). Facendo clic su questo nodo e selezionando un filtro esistente, vengono visualizzati i risultati della scansione in base al filtro selezionato. GFI LANguard N.S.S. è munito di un certo numero di filtri di scansione predefiniti. Inoltre, è possibile creare filtri di scansione personalizzati. Filtri di scansione I filtri di scansione seguenti sono inclusi per impostazione predefinita: Full report: (Rapporto completo): mostra tutti i dati relativi alla sicurezza raccolti durante una scansione. Vulnerabilities [High Security] (Vulnerabilità [Sicurezza alta]): mostra i problemi che richiedono attenzione immediata: service pack e patch mancanti, vulnerabilità della sicurezza alte e porte aperte. Vulnerabilities [Medium Security] (Vulnerabilità [Sicurezza media]): mostra i problemi che devono essere trattati dall’amministratore: vulnerabilità della sicurezza medie, patch che non possono essere individuate. Vulnerabilities[All] (Vulnerabilità [Tutte]): mostra tutte le vulnerabilità individuate: patch e service pack mancanti, possibili Manuale di LANguard Network Security Scanner Risultati della scansione filtrata • 31 controlli delle informazioni, patch che non è stato possibile individuare, vulnerabilità della sicurezza alte e basse. Missing patches and service packs (Patch e service pack mancanti): elenca tutti i service pack e i file patch mancanti delle macchine sottoposte a scansione. Important devices – USB (Dispositivi importanti: USB): elenca tutti i dispositivi USB collegati ai target di scansione. Important devices – Wireless (Dispositivi importanti: wireless): elenca tutte le schede di rete wireless (sia PCI sia USB) collegate ai target di scansione. Open Ports (Porte aperte): elenca tutte le porte TCP e UDP aperte. Open Shares (Condivisioni aperte): elenca tutte le condivisioni aperte e coloro che vi possono accedere. Auditing Policies (Politiche di controllo): elenca le impostazioni della politica di controllo su ogni computer sottoposto a scansione. Password Policies (Politiche delle password): elenca le politiche delle password attive su ogni computer sottoposto a scansione. Groups and users (Gruppi e utenti): elenca gli utenti e gruppi individuati su ogni computer sottoposto a scansione. Computer properties (Proprietà del computer): mostra le proprietà di ciascun computer. Selezione del file source dei risultati della scansione Per impostazione predefinita, i filtri funzionano sui dati di scansione correnti. Tuttavia, è possibile selezionare un file source di dati ‘”scan results” (risultati della scansione) diverso ed applicare i filtri al file source di risultati della scansione salvato (un file XML o un database). Per farlo, procedere come segue: 1. Aprire il nodo “Security Scanner” (Scanner di sicurezza) del programma dello scanner per la sicurezza GFI LANguard N.S.S. 2. Fare clic con il tasto destro del mouse e selezionare “Load saved scan results from…” (Carica i risultati di scansione salvati da…) 3. Selezionare le sorgenti di dati che contengono i risultati sui quali si desidera eseguire il filtro. 4. Selezionare la voce di database o il file XML che contengono i dati dei risultati di scansione richiesti. 5. Fare clic su OK. In questo modo, i risultati della scansione salvati vengono ricaricati nell’interfaccia utente dei risultati del Security Scanner (scanner di sicurezza). 6. Tutti i filtri riportano ora i dati del file dei risultati della scansione caricato. Creazione di un filtro di scansione personalizzato Per creare un filtro di scansione personalizzato, procedere come segue: 1. Fare clic con il tasto destro del mouse sul nodo “GFI LANguard N.S.S. > Security scanner > Scan Filters…” (GFI LANguard N.S.S. > 32 • Risultati della scansione filtrata Manuale di LANguard Network Security Scanner Scanner di sicurezza > Filtri di scansione…) e selezionare New > Filter… (Nuovo > Filtro…) 2. Viene visualizzata la finestra di dialogo “Scan Filter Properties” (Proprietà dei filtri di scansione). Filtri di scansione – Pagina generale 3. Assegnare un nome al filtro di scansione 4. Aggiungere eventuali condizioni di filtraggio da applicare ai dati dei risultati di scansione mediante il pulsante “Add…” (Aggiungi…). È possibile creare più condizioni per il filtro. Per ogni condizione, si deve specificare la proprietà, la condizione ed il valore. Proprietà disponibili sono costituite da sistema operativo, nome dell’host, utente collegato, dominio, service pack, condivisione, ecc.). Manuale di LANguard Network Security Scanner Risultati della scansione filtrata • 33 Finestra di dialogo delle condizioni 5. Selezionare quali categorie di informazioni si desidera visualizzare nel filtro dalla pagina “Report items” (Elementi del rapporto). 6. Fare clic su OK per creare il filtro. 34 • Risultati della scansione filtrata Manuale di LANguard Network Security Scanner Filtri di scansione – Pagina degli elementi del rapporto Tale procedura crea un nuovo nodo permanente sotto il nodo “Scan Filters” (Filtri di scansione). NOTA: è possibile eliminare/personalizzare eventuali filtri sotto il nodo “Scan Filters” (Filtri di scansione) facendo clic con il tasto destro del mouse sul filtro e selezionando “Delete…/Properties” (Elimina…/Proprietà), a seconda dell’operazione che si vuole eseguire. Esempio 1 – Trovare computer con una determinata patch mancante Si desidera trovare tutti i computer Windows privi della patch MS03026 (si tratta della patch del famoso virus blaster). Definire il filtro come segue: 1. Condizione 1: il sistema operativo comprende Windows 2. Condizione 2: l’hotfix (la patch) non è installato MS03-026 Esempio 2 – Elencare tutte le stazioni Sun con un server web Per elencare tutte le stazioni Sun che operano un server web sulla porta 80, definire i query seguenti: 1. il sistema operativo comprende SunOS 2. la porta TCP è aperta 80 Manuale di LANguard Network Security Scanner Risultati della scansione filtrata • 35 Configurazione di GFI LANguard N.S.S. Introduzione alla configurazione di GFI LANguard N.S.S. È possibile configurare GFI LANguard N.S.S. dal nodo di configurazione. Da questo nodo si possono configurare opzioni di scansione, profili di scansione, scansioni pianificate, opzioni di allerta e molto altro. Profili di scansione Profili di scansione Mediante i profili di scansione, è possibile configurare diversi tipi di scansione ed usare tali scansioni per concentrarsi su particolari tipi di informazioni che si vogliono controllare. Si crea un profilo di scansione facendo clic con il tasto destro del mouse sul nodo “Configuration > Scanning profiles” (Configurazione > Profili di scansione) e selezionando “New > Scan Profile…” (Nuovo > Profilo di scansione…) Per ogni profilo si possono impostare le seguenti opzioni: 1. Porte TCP sottoposte a scansione 2. Porte UDP sottoposte a scansione 3. Dati del sistema operativo sottoposto a scansione 4. Vulnerabilità sottoposte a scansione Manuale di LANguard Network Security Scanner Configurazione di GFI LANguard N.S.S. • 37 5. Patch sottoposte a scansione 6. Proprietà dello scanner 7. Dispositivi Porte TCP/UDP sottoposte a scansione Le schede delle porte TCP/UDP sottoposte a scansione consentono di specificare per quali porte TCP e UDP si desidera effettuare la scansione. Per abilitare una porta basta fare semplicemente clic sulla casella di spunta situata accanto alla porta. Configurazione delle porte da sottoporre a scansione in un profilo Come aggiungere/modificare/rimuovere delle porte Se si vogliono aggiungere porte TCP/UDP personalizzate, fare clic sul pulsante “Add” (Aggiungi). Viene visualizzata la finestra di dialogo “Aggiungi” della porta. 38 • Configurazione di GFI LANguard N.S.S. Manuale di LANguard Network Security Scanner Schermata 1 – Aggiunta di una porta Immettere il numero della porta o un intervallo di porte ed inserire una descrizione del programma che dovrebbe funzionare su quella porta. Se il programma associato alla porta è un Trojan, fare clic sulla casella di spunta “Is a Trojan port” (È una porta Trojan). Se si specifica che si tratta di una porta Trojan, il cerchio verde/rosso accanto alla porta sarà rosso Nota: assicurarsi di inserire la porta nel Protocollo Window corretto, TCP o UDP. È possibile modificare o rimuovere delle porte facendo clic sui pulsanti “Edit” (Modifica) o “Remove” (Elimina) Dati del sistema operativo sottoposto a scansione La scheda dei dati del sistema operativo sottoposto a scansione specifica il tipo di informazioni che GFI LANguard N.S.S. deve raccogliere dal sistema operativo durante la scansione. Attualmente, sono supportati solo i dati del sistema operativo Windows, tuttavia sono in fase di sviluppo i dati di scansione per Unix. Manuale di LANguard Network Security Scanner Configurazione di GFI LANguard N.S.S. • 39 Vulnerabilità sottoposte a scansione Configurazione delle vulnerabilità da sottoporre a scansione La scheda delle vulnerabilità sottoposte a scansione elenca tutte le vulnerabilità che GFI LANguard N.S.S. può sottoporre a scansione. È possibile disabilitare il controllo di tutte le vulnerabilità deselezionando la casella di spunta “Check for vulnerabilities” (Ricerca le vulnerabilità). Per impostazione predefinita, GFI LANguard N.S.S. effettua la scansione di tutte le vulnerabilità a lui note. È possibile modificare tale impostazione eliminando la casella di spunta situata accanto ad una vulnerabilità specifica. Dal pannello di destra, è possibile modificare le opzioni di una determinata vulnerabilità facendo doppio clic su di essa. È possibile modificare il livello di sicurezza di un particolare controllo della vulnerabilità dall’opzione “Security Level” (Livello di sicurezza). Tipi di vulnerabilità Le vulnerabilità sono suddivise nelle seguenti sezioni: patch mancanti, patch che non possono essere individuate, abusi CGI, vulnerabilità FTP, vulnerabilità DNS, vulnerabilità di posta, vulnerabilità RPC, vulnerabilità di servizio, vulnerabilità del registro di configurazione del sistema (Registry) e vulnerabilità varie. Opzioni avanzate di controlli di vulnerabilità Fare clic sul pulsante “Advanced” (Opzioni avanzate) per accedere a tali opzioni. • Controlli interni – Includono controlli di password FTP anonime, di password deboli, ecc. • Scansione CGI – Avviare la scansione CGI se sono in esecuzione server web che utilizzano CGI. In via facoltativa, è possibile specificare un server proxy se si è localizzati dietro un server proxy. 40 • Configurazione di GFI LANguard N.S.S. Manuale di LANguard Network Security Scanner • Le nuove vulnerabilità sono abilitate per impostazione predefinita – Tale opzione abilita/disabilita le vulnerabilità aggiunte di recente da includere nelle scansioni di tutti gli altri profili. Scaricamento delle vulnerabilità della sicurezza più recenti Per aggiornare le Vulnerabilità della sicurezza, selezionare “Help > Check for updates” (Guida in linea > Ricerca aggiornamenti) dal programma dello scanner GFI LANguard N.S.S. Quest’ulltimo scaricherà le vulnerabilità della sicurezza più recenti dal sito Web di GFI. Inoltre, il programma aggiornerà i file fingerprint (impronte digitali) utilizzati per determinare quale sistema operativo risiede sul dispositivo. NOTA: all’avvio, GFI LANguard N.S.S. può scaricare automaticamente nuovi controlli di vulnerabilità dal sito Web di GFI. È possibile configurare quest’opzione dal nodo “GFI LANguard N.S.S. > General > Product Updates” (GFI LANguard N.S.S. > Generale > Aggiornamenti del prodotto). Patch sottoposte a scansione Configurazione delle patch da ricercare quando si effettua la scansione con un particolare profilo. La scheda delle patch sottoposte a scansione consente di configurare se quel particolare profilo di scansione deve ricercare patch e/o service pack mancanti. La scheda elenca tutte le patch cercate da GFI LANguard N.S.S. È possibile disabilitare la ricerca di determinate patch per questo profilo deselezionando la casella di spunta accanto al bollettino delle patch. L’elenco delle patch si ottiene scaricando l’elenco di patch più recente dal sito Web di GFI, che a sua volta lo ottiene da Microsoft (mssecure.xml). GFI ottiene l’elenco delle patch di Microsoft e ne controlla la correttezza, poiché a volte contiene degli errori. Manuale di LANguard Network Security Scanner Configurazione di GFI LANguard N.S.S. • 41 Espansione delle informazioni del bollettino Per ulteriori informazioni su un determinato bollettino, fare doppio clic su uno dei bollettini oppure fare clic con il tasto destro del mouse su di esso e selezionare “Proprieties” (Proprietà). Vengono visualizzati ulteriori dettagli su ciò che il bollettino controlla e ciò a cui si rivolge. Opzioni dello scanner In questa scheda è possibile configurare le opzioni relative alle modalità con le quali GFI LANguard N.S.S. deve effettuare una scansione. Proprietà dello scanner di sicurezza 42 • Configurazione di GFI LANguard N.S.S. Manuale di LANguard Network Security Scanner Metodi di scoperta sulla rete Questa sezione è dedicata ai metodi che GFI LANguard N.S.S. deve utilizzare per scoprire macchine sulla rete. L’opzione “NETBIOS queries” (Interrogazioni NETBIOS) consente l’utilizzo delle interrogazioni (query) NetBIOS o SMB. Se sulla Macchina Windows è installato il Client per le reti Microsoft o se su una macchina Unix sono installati i servizi Samba, allora tali macchine risponderanno ad interrogazioni di tipo NetBIOS. È possibile aggiungere un parametro “ScopeID” all’interrogazione NetBIOS. È richiesto solo in alcuni casi, in cui i sistemi sono dotati di uno ScopeID. Se la propria azienda è dotata di un parametro ScopeID impostato su NetBIOS, inserirlo in questo punto. L’opzione “SNMP queries” (Interrogazioni SNMP) consente di spedire pacchetti SNMP con la Community String impostata nella scheda “General” (Generale). Se il dispositivo risponde all’interrogazione, GFI LANguard N.S.S. gli richiede l’identificatore dell’oggetto (Object Identifier) e lo confronta con un database per determinare di quale dispositivo si tratta. L’opzione Ping Sweep effettua un ping ICMP di ciascun dispositivo di rete (si veda la Nota: di seguito). L’opzione Custom TCP Port Discovery (Personalizza la scoperta di porte TCP) ricerca una determinata porta aperta sulle macchine target. Nota: ciascun tipo di interrogazione summenzionato può essere disattivato, ma GFI LANguard N.S.S. dipende da tutte queste interrogazioni per determinare il tipo di dispositivo e il sistema operativo residente su di esso. Se si sceglie di disattivare una di queste interrogazioni, GFI LANguard N.S.S. può non essere affidabile nella sua identificazione. Nota: alcuni firewall personali bloccano una macchina persino nell’inviare un echo ICMP e, pertanto, non viene individuato da GFI LANguard N.S.S. Se si ritiene che esistano molte macchine con firewall personali nella propria rete, si prenda in considerazione la possibilità di effettuare una scansione forzata di ciascun IP della rete. Opzioni di scoperta della rete I parametri di scoperta della rete consentono di regolare il rilevamento delle macchine, in modo da ottenere la migliore individuazione delle macchine nel minor tempo possibile. I parametri di regolazione comprendono: • “Scanning Delay” (Ritardo di scansione). È il tempo atteso da LANguard N.S.S. fra l’invio di un pacchetto TCP/UDP e l’altro. Il valore predefinito è pari a 100ms. In base alla connessione e al tipo di rete di cui si dispone (LAN/WAN/MAN), può essere necessario rettificare tali impostazioni. Se l’impostazione è troppo bassa, la rete può risultare congestionata da pacchetti inviati da GFI LANguard N.S.S. Se invece l’impostazione è troppo alta, verrà sprecato molto tempo inutilmente. • Wait for Responses (Attendi la risposta). É il tempo atteso effettivamente da GFI LANguard N.S.S. per ottenere una risposta dal dispositivo. Se si opera su una rete lenta o occupata, può Manuale di LANguard Network Security Scanner Configurazione di GFI LANguard N.S.S. • 43 essere necessario incrementare questa caratteristica di scadenza da 500ms ad un valore più elevato. • Number of retries (Numero di tentativi). È il numero di volte che GFI LANguard N.S.S. effettuerà ciascun tipo di scansione. In circostanze normali, quest’impostazione non deve essere modificata. Tuttavia, se si dovesse modificare tale impostazione, essa verrà eseguita quel dato numero di volte in tutti i tipi di scansione (NETBIOS, SNMP e ICMP). • L’opzione Include non-responsive computers (Includi computer che non rispondono) dà istruzione allo scanner per la sicurezza GFI LANguard N.S.S. di tentare di effettuare la scansione di una macchina che non abbia risposto ad alcun metodo di scoperta della rete. Opzioni di interrogazioni NetBIOS L’effetto di utilizzare uno Scope ID di NetBIOS è quello di isolare un gruppo di computer sulla rete in grado di comunicare soltanto con altri computer configurati con un identico Scope ID di NetBIOS. I programmi NetBIOS avviati su un computer che utilizza Scope ID di NetBIOS non sono in grado di “vedere” (ricevere o inviare messaggi) programmi NetBIOS avviati da un processo su un computer configurato con uno Scope ID di NetBIOS diverso. GFI LNSS supporta Scope ID di NETBIOS per poter effettuare la scansione di questi computer isolati che, diversamente, sarebbero inaccessibili. Opzioni di interrogazioni SNMP L’opzione Load SNMP enterprise numbers (Carica i numeri aziendali SNMP) consente a GFI LANguard N.S.S. di estendere il supporto in scansioni SNMP. Se disabilitata, i dispositivi scoperti da SNMP sconosciuti a GFI LANguard N.S.S. non riportano qual è il presunto distributore. A meno che non si sperimentino dei problemi, si consiglia di lasciare abilitata quest’opzione. Per impostazione predefinita, la maggior parte dei dispositivi SNMP abilitati utilizza la community string “pubblica” predefinita, ma, per motivi di sicurezza, gran parte degli amministratori la cambia in qualcos’altro. Se non si è modificato il nome della community SNMP predefinito sui dispositivi di rete, si vorrà aggiungerlo all’elenco utilizzato da GFI LANguard N.S.S. Nota: in questo punto è possibile aggiungere più di un nome di community SNMP. Per ogni nome di community aggiunto, la parte SNMP della scansione deve essere eseguita un’altra volta. Se, nella stringa del nome della community, si è impostato “pubblica” e “privata”, la scansione SNMP verrà effettuata due volte sull’intero intervallo di IP impostato. Una volta con la stringa “pubblica” e la seconda con la stringa “privata”. Opzioni delle finestre di attività dello scanner Le opzioni di uscita consentono di configurare quali informazioni devono essere visualizzate nel pannello di attività dello scanner. È utile abilitarle; tuttavia, si consiglia di abilitare “Verbose” (Verboso) o 44 • Configurazione di GFI LANguard N.S.S. Manuale di LANguard Network Security Scanner “Display packets” (Visualizza i pacchetti) solo a fini di eliminazioni di errori (debugging) straordinarie. Dispositivi In questa scheda è possibile configurare le modalità di reazione di LANguard N.S.S. quando rileva un determinato dispositivo di rete o USB. Si può configurare GFI LANguard N.S.S. in modo da essere informati, a mezzo avviso di vulnerabilità critico, quando viene rilevato un particolare dispositivo ovvero in modo che ignori determinati dispositivi, quali tastiere e mouse di tipo USB. Dispositivi di rete Ogni dispositivo di rete acquisito riporta un nome visualizzato. Se il nome del dispositivo individuato contiene una qualsiasi voce di stringa nella sezione elenco “Create a high security vulnerability for network devices whose name contains:” (“Crea una vulnerabilità di sicurezza elevata per dispositivi di rete il cui nome contenga:”) (uno per rigo), viene generata una vulnerabilità di sicurezza elevata, che è presentata al computer sul quale il dispositivo è stato rilevato. Dispositivo di rete – Configurazione di un nome di dispositivo pericoloso. NOTA: gli elenchi sono configurati in base a un profilo, pertanto è possibile personalizzare i requisiti di scansione basandoli sul tipo di scansione di sicurezza che si sta effettuando. Manuale di LANguard Network Security Scanner Configurazione di GFI LANguard N.S.S. • 45 Vulnerabilità di sicurezza elevata creata per il dispositivo di rete identificato come pericoloso. NOTA: d’altra parte, se si desidera essere informati o ricevere un avviso sulla presenza di dispositivi ritenuti sicuri, inserire il nome del dispositivo nella sezione elenco “Ignore (Do not list/save to db) devices whose name contains:” (Ignora (Non elencare/salvare dul database) dispositivi il cui nome contenga:”). Quando GFI LANguard N.S.S incontra un dispositivo con tali proprietà, lo ignora e non lo salva/visualizza nei risultati di scansione. Dispositivi USB Ogni dispositivo USB acquisito riporta un nome visualizzato. Se il nome del dispositivo individuato contiene una qualsiasi voce di stringa nella sezione elenco “Create a high security vulnerability for USB devices whose name contains:” (“Crea una vulnerabilità di sicurezza elevata per dispositivi USB il cui nome contenga:”) (uno per rigo), viene generata una vulnerabilità di sicurezza elevata, che è presentata al computer sul quale il dispositivo è stato rilevato. 46 • Configurazione di GFI LANguard N.S.S. Manuale di LANguard Network Security Scanner Dispositivo USB – Configurazione di un nome di dispositivo pericoloso. NOTA: gli elenchi sono configurati in base a un profilo, pertanto è possibile personalizzare i requisiti di scansione basandoli sul tipo di scansione di sicurezza che si sta effettuando. Vulnerabilità di sicurezza elevata creata per il dispositivo USB identificato come pericoloso. NOTA: d’altra parte, se si desidera essere informati o ricevere un avviso sulla presenza di dispositivi ritenuti sicuri, inserire il nome del dispositivo nella sezione elenco “Ignore (Do not list/save to db) devices whose name contains:” (Ignora (Non elencare/salvare dul database) dispositivi il cui nome contenga:”). Quando GFI LANguard N.S.S incontra un dispositivo con tali proprietà, lo ignora e non lo salva/visualizza nei risultati di scansione. Manuale di LANguard Network Security Scanner Configurazione di GFI LANguard N.S.S. • 47 Scansioni pianificate La caratteristica delle scansioni pianificate consente di configurare le scansioni che devono essere eseguite automaticamente ad una determinata data/ora. Le scansioni pianificate possono inoltre essere effettuate periodicamente. Questa opzione consente di eseguire una particolare scansione durante la notte o di primo mattino e può, inoltre, essere utilizzata congiuntamente alla caratteristica del confronto dei risultati, permettendo di ricevere automaticamente un “change report” (rapporto delle variazioni) nella propria casella di posta. Per impostazione predefinita, tutte le scansioni pianificate sono memorizzate nel database. In via facoltativa, è possibile salvare tutti i risultati delle scansioni pianificate in un file XML (uno per ogni scansione pianificata). Il salvataggio può essere effettuato facendo clic con il tasto destro del mouse sul nodo Scheduled Scan (Scansione pianificata), selezionando Properties (Proprietà), abilitando l’opzione Save Scheduled Scan (Salva la scansione pianificata) e specificando un percorso per i file XML. Configurazione di una scansione pianificata Per creare una scansione pianificata, procedere come segue: 1. Nel programma dello scanner di sicurezza GFI LANguard N.S.S., fare clic con il tasto destro del mouse su Configuration > Scheduled scans > New > Scheduled scan… (Configurazione > Scansioni pianificate > Nuova > scansione pianificata…) 2. Viene visualizzata la finestra di dialogo New Scheduled Scan (Nuova scansione pianificata) 48 • Configurazione di GFI LANguard N.S.S. Manuale di LANguard Network Security Scanner Creazione di una nuova scansione pianificata Nella finestra di dialogo “Nuova scansione pianificata”, è possibile configurare quanto segue: 1. Scan targe’ (Oggetto della scansione): specificare i nomi dei computer o l’intervallo di IP di cui si desidera effettuare la scansione. È possibile specificare l’oggetto della scansione come segue: i. Host name (Nome dell’host) – ad esempio, ANDREMDEV ii. indirizzo IP - ad esempio, 192.168.100.9 iii. intervallo di indirizzi IP – ad esempio, 192.168.100.1 – 192.168.100.255 iv. un file di testo contenente un elenco di computer – ad esempio, file:c:\test.txt (percorso completo al file). Ogni rigo contenuto nel file può assumere qualsiasi formato o oggetto specificato nei punti (1), (2) o (3). 2. Profilo di scansione: selezionare il profilo di scansione da utilizzare per questa scansione pianificata. 3. Scansione successiva: specificare in quale data e ora si desidera cominciare la scansione. 4. Perform a scan every (Effettua una scansione ogni): specificare se si desidera effettuare la scansione una sola volta o periodicamente. 5. Descrizione: pianificate viene Manuale di LANguard Network Security Scanner visualizzata nell’elenco delle scansioni Configurazione di GFI LANguard N.S.S. • 49 Fare clic su OK per creare la scansione pianificata. Per analizzare/visualizzare i risultati di una scansione pianificata, nel nodo Scan filters (Filtri di scansione) si deve specificare il file XML dei risultati di scansione di quella scansione pianificata. Per farlo, procedere come segue: 1. Fare clic con il tasto destro del mouse sul nodo principale “Scan Filters” (Filtri di scansione) e selezionare “Filter saved scan results XML file...” (File XML dei risultati di scansione filtrati salvato…) 2. Specificare il file XML dei risultati di scansione della scansione pianificata. 3. I nodi dei filtri visualizzano ora i dati del file di risultati della scansione pianificata. File dei parametri Il nodo dei file dei parametri fornisce un’interfaccia diretta per modificare vari file dei parametri basati sul testo utilizzati da GFI LANguard N.S.S. Soltanto utenti avanzati dovrebbero modificare tali file. Se questi file fossero erroneamente modificati, risulterebbe colpita l’affidabilità di GFI LANguard N.S.S. per quanto riguarda la determinazione del tipo di dispositivo trovato. • Ethercodes.txt – questo file contiene molti indirizzi Mac e i relativi distributori assegnati a quel particolare intervallo. • ftp.txt – questo file contiene un elenco di banner di server ftp utilizzati internamente da GFI LNSS per determinare quale sistema operativo risieda su quella determinata macchina, in base al server ftp in funzione su di essa. • Identd.txt – questo file contiene banner “identd” anch’essi utilizzati internamente da GFI LNSS per determinare il sistema operativo che utilizza le informazioni di banner. • Object_ids.txt – questo file contiene “object_ids” (id dell’oggetto) e dati relativi al distributore e prodotto di appartenenza. Quando GFI LANguard N.S.S. trova un dispositivo che risponde a interrogazioni SNMP, confronta le informazioni di Object ID (ID dell’oggetto) del dispositivo con quelle memorizzate in questo file. • Passwords.txt – questo file contiene un elenco di password utilizzate per asserire debolezze di password. • Rpc.txt – questo file contiene una mappatura fra i numeri di servizio riportati dal protocollo rpc e il nome del servizio associato a quel particolare numero di servizio. Quando GFI LANguard N.S.S. trova servizi RPC in esecuzione su una macchina (di solito Unix o Linux), le informazioni ottenute sono confrontate con quelle di questo file. • Smtp.txt – contiene un elenco di banner e dei relativi sistemi operativi. Come nel caso dei file ftp e ident, questi banner sono utilizzati internamente da GFI LNSS per determinare il sistema operativo che risiede sulla macchina target. • Snmp-pass.txt – questo file contiene un elenco di community string che GFI LNSS utilizza per determinare se sono disponibili sul server SNMP target. Laddove disponibili, queste community string sono rilevate dallo strumento di scansione SNMP. 50 • Configurazione di GFI LANguard N.S.S. Manuale di LANguard Network Security Scanner • telnet.txt – ancora una volta, si tratta di un file che contiene vari banner di server telnet utilizzati da GFI LNSS per determinare il sistema operativo che risiede sulla macchina target. • www.txt – un file che contiene banner di server utilizzati per determinare quale sistema operativo risiede sulla macchina target. • Enterprise_numbers.txt – elenca gli OID (Object Identifier – ID dell’oggetto) ai codici di relazione dell’azienda (distributore/università). Se GFI LANguard N.S.S. non ottiene le specifiche informazioni su un dispositivo quando lo rileva (informazioni fornite dal file object_ids.txt), controlla le informazioni sullo specifico distributore ottenute e fornisce almeno l’identità del distributore del prodotto rilevato. Tali informazioni si basano sui Network Management Private Enterprise Codes SMI, reperibili sul sito: http://www.iana.org/assignments/enterprise-numbers Utilizzazione di GFI LANguard N.S.S. dalla riga dei comandi È possibile evocare il processo di scansione dalla riga dei comandi. Ciò consente di chiamare lo scanner da un’altra applicazione o semplicemente su base programmata con le proprie opzioni personalizzate. Utilizzo: “lnsscmd <Target> [/profile=profileName] [/report=reportPath] [/output=pathToXmlFile] [/user=username /password=password] [/email=emailAddress] [/DontShowStatus] [/?]” (lnsscmd <Target> [/profilo=Nome profilo] [/rapporto=Percorso del rapporto] [/output=percorso al file XML] [/utente=nome utente /password=password] [/email=Indirizzo email] [/Non mostrare lo stato] [/?]) Legenda: Target obbligatorio: IP/Macchina o intervallo di IP/Macchine da sottoporre a scansione. /Profile Optional: (/Profilo - facoltativo): profilo da utilizzare per la scansione. Se non diversamente indicato, viene utilizzato il profilo attivo corrente. /Output Optional: (/Output - facoltativo): percorso completo (compreso nome del file) dove emettere il file xml dei risultati della scansione. /Report Optional: (/Rapporto - facoltativo): percorso completo (compreso nome del file) dove generare il file html del rapporto dei risultati della scansione. /User Optional: (/Utente - facoltativo): effettua la scansione del dispositivo target specificato utilizzando le credenziali alternative specificate nei parametri /User (/Utente) e /Password (/Password). /Password Optional: (/Password - facoltativa): effettua la scansione del dispositivo target specificato utilizzando le credenziali alternative specificate nei parametri /User (/Utente) e /Password (/Password). /Email Optional: (/Email - facoltativa): invia il rapporto dei risultati a quest’indirizzo email alternativo. Verrà utilizzato il server di posta specificato nel nodo LNSS\Configuration\Alerting Options (LNSS\Configurazione\Opzioni di allerta). Manuale di LANguard Network Security Scanner Configurazione di GFI LANguard N.S.S. • 51 /DontShowStatus Optional: (/Non mostrare lo stato - facoltativo): non mostra i dettagli dell’andamento della scansione. NOTA: per i percorsi completi e i nomi dei profili, includere il nome tra virgolette, ad esempio, “Default”, “c:\temp\test\xml” (“Predefinito”, “c:\temp\test\xml”). /? Facoltativo: visualizza la schermata della guida in linea relativa a come susare il file “lnsscmd.exe”. Macro: %INSTALLDIR% viene sostituito d’installazione di LANguard N.S.S. dal percorso alla directory %TARGET% viene sostituito dal target di scansione. %SCANDATE% viene sostituito dalla data di scansione. %SCANTIME% viene sostituito dall’ora di scansione. Esempio: lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="[email protected]" (lnsscmd.exe 127.0.0.1 /Profilo="Predefinito" /Output="c:\out.xml" /Rapporto="c:\risultato.html" /email="[email protected]”) Quanto sopra descritto farà in modo che la riga di comandi dello scanner esegua una scansione di sicurezza sulla macchina 127.0.0.1, emetta il file xml su c:\out.xml, generi il rapporto html c:\result.html (c:\risultato.hmtl) su una volta completata la scansione e, infine, invii il rapporto all’indirizzo email “[email protected]”. 52 • Configurazione di GFI LANguard N.S.S. Manuale di LANguard Network Security Scanner Impiego di patch Introduzione all’impiego di patch Utilizzare il tool (strumento) di messa in funzione di patch, in modo da tenere aggiornate le macchine NT, 2000, XP e 2003 con le patch e i service pack più recenti. Per mettere in funzione patch e service pack, bisogna seguire le seguenti fasi: Fase 1: effettuare una scansione della rete Fase 2: selezionare su quali macchine mettere in funzione le patch Fase 3: selezionare quali patch impiegare Fase 4: scaricare i file delle patch e dei service pack Fase 5: correggere i parametri d’impiego del file Fase 6: impiegare gli aggiornamenti Per mettere in funzione le patch: • Si deve disporre di diritti amministrativi sulla macchina su cui si sta effettuando la scansione. • NETBIOS deve essere abilitato sulla macchina remota. L’agente per l’impiego delle patch GFI LANguard N.S.S. 5 utilizza un agente per l’impiego delle patch, installato automaticamente sulla macchina remota, per impiegare patch, service pack e software personalizzato. L’agente per l’impiego delle patch consiste in un servizio che esegue l’installazione all’ora programmata, in base ai parametri d’impiego indicati. Tale architettura risulta quindi più molto affidabile di quella che non si avvale di un agente per l’impiego delle patch. L’agente per l’impiego delle patch viene installato automaticamente senza l’intervento dell’amministratore. Nota: non è raro che Microsoft ritiri file di patch. Quando ciò accade, le informazioni di quella patch rimangono nel file “mssecure.xml”, poiché la patch era ad un certo punto disponibile. In questi casi, GFI LANguard NSS riporta la patch come mancante, benché essa non possa essere installata. Se non si desidera ricevere informazioni su queste patch mancanti, bisogna disabilitare la ricerca di quel dato bollettino dal nodo GFI LANguard N.S.S. > Configuration > Scanning Profiles > Patches (GFI LANguard N.S.S. > Configurazione > Profili di scansione > Patch). Fase 1: effettuare una scansione della rete GFI LANguard N.S.S. scopre patch e servizi mancanti in quanto parte della scansione per la sicurezza. Lo fa paragonando le impostazioni Manuale di LANguard Network Security Scanner Impiego di patch • 53 del registro di configurazione del sistema, i timbri temporali (data/ora) dei file e le informazioni relative alla versione, presenti sulla macchina remota, avvalendosi delle informazioni fornite da Microsoft nel file “mssecure.xml’”. Innanzi tutto, GFI LANguard N.S.S. individua quali prodotti, di cui possiede informazioni sulle patch, sono installati sulla macchina target (per esempio, Microsoft Office). Dopo di che, controlla quali patch e service pack sono disponibili per quel prodotto e invia le informazioni sulla patch mancante al nodo delle “Missing patches” (Patch mancanti) del nodo “high security vulnerabilities” (Vulnerabilità della sicurezza alte). Visualizzazione di un campione di patch mancante nell’albero dei risultati della scansione Per ogni service pack/patch mancante, GFI LANguard N.S.S. riporta un collegamento dal quale è possibile scaricare il file della patch ed altre informazioni relative a quel bollettino. Le patch mancanti in via definitiva sono riportate nei nodi “Missing patches and service packs” (“Patch e service pack mancanti”) dei risultati di scansione. Le patch per le quali non è possibile confermare se siano installate o no a causa della mancanza di informazioni d’individuazione, sono riportate nel nodo “Potential vulnerabilities” (Vulnerabilità potenziali) dei risultati della scansione. Visualizzazione di un campione di patch non individuabili nell’albero dei risultati della scansione Fase 2: selezionare su quali macchine mettere in funzione le patch Dopo aver effettuato la scansione della rete, nella finestra dei risultati della scansione viene visualizzato l’elenco dei service pack e delle patch mancanti. Per installare gli aggiornamenti mancanti, si devono selezionare i computer che si intendono aggiornare. Le patch possono essere impiegate su una macchina, su tutte le macchine o su macchine selezionate. Per mettere in funzione le patch mancanti su un computer: fare clic con il pulsante destro del mouse sul computer che si vuole aggiornare Deploy Microsoft updates > [type of update] > This 54 • Impiego di patch Manuale di LANguard Network Security Scanner computer (Impiega gli aggiornamenti di Microsoft > [tipo di aggiornamento] > Questo computer). Per mettere in funzione le patch mancanti su tutti i computer: fare clic con il pulsante destro del mouse su qualsiasi computer riportato nell’albero dei risultati “Deploy Microsoft updates > [type of update] > All computers” (Installa gli aggiornamenti di Microsoft > [tipo di aggiornamento] > Tutti i computer). Per mettere in funzione le patch mancanti su computer selezionati: utilizzare le caselle di controllo sul lato sinistro dei risultati della scansione per selezionare quali macchine si desidera aggiornare. Fare clic con il pulsante destro del mouse su qualsiasi computer riportato nell’albero dei risultati “Deploy Microsoft updates > [type of update] > Selected computer” (Impiega gli aggiornamenti di Microsoft > [tipo di aggiornamento] > Computer selezionati). Indicare su quali macchine si vogliono impiegare gli aggiornamenti richiesti. Fase 3: selezionare le patch da impiegare Una volta selezionati i computer target su cui impiegare le patch di Microsoft, viene visualizzato il nodo Deploy Microsoft patche’ (Impiega gli aggiornamenti di Microsoft). Questo nodo riporta i dettagli dei computer selezionati e quali patch/service pack devono essere impiegati su quei computer. Sono visibili due visualizzazioni in cui è possibile gestire le opzioni d’impiego. (1) Ordinamento per computer: selezionare un computer e vedere quali patch/aggiornamenti devono essere impiegati su di esso (2) Ordinamento per patch: selezionare una patch e vedere su quali computer manca quell’aggiornamento. Manuale di LANguard Network Security Scanner Impiego di patch • 55 Messa in funzione del nodo delle patch di Microsoft Per impostazione predefinita, tutte le patch vengono selezionate per la messa in funzione. Se si vuole evitare di impiegare determinate patch, deselezionarle facendo clic sulla casella di spunta situata accanto alle rispettive patch. Fase 4: scaricare i file delle patch e dei service pack Dopo aver selezionato le patch o i service pack da mettere in funzione, bisogna scaricare gli opportuni file che contengono le patch. Questa operazione viene effettuata in larga misura da GFI LANguard N.S.S. in maniera automatica. Inoltre, esso li colloca nelle directory corrette in base alla linguadel prodotto che viene aggiornato. GFI LANguard NSS riporta quali file di patch devono essere scaricati Nell’elenco delle patch da impiegare, GFI LANguard N.S.S. riporta quali file vanno scaricati. Viene elencato ogni file di patch necessario, che riporta uno dei seguenti stati, indicati da un’icona nell’elenco delle patch mancanti: Scaricato Attualmente in corso di scaricamento In attesa che l’utente si colleghi alla pagina web per scaricare il file. Non scaricato 56 • Impiego di patch Manuale di LANguard Network Security Scanner Scaricamento delle patch Le patch di Microsoft, elencate nel file “mssecure.xml”, possono essere distinte in tre categorie principali: (1) Patch dotate di una locazione (URL) diretta per il download. (2) Patch che richiedono di navigare in qualche pagina web nel Web per poter scaricare il file. (3) Patch per le quali non esiste un file di patch. Per scaricare patch dotate di un collegamento diretto: Per le patch dotate di un collegamento diretto per il download, fare clic sul file di patch e selezionare “Download File” (“Scarica file”). Comicia quindi il download e, una volta completato, il file viene messo automaticamente nella directory corretta. Per scaricare patch non dotate di un collegamento diretto, ma solo di una pagina web sorgente. Quando individua un file che deve essere scaricato manualmente dal sito Web di Microsoft, GFI LANguard N.S.S. carica la pagina web principale nell’area situata in fondo al tool per l’impiego delle patch. Si è allora in grado di trovare il collegamento per il download più opportuno e quindi di fare clic su di esso. GFI LANguard N.S.S. controlla questa sessione Web e, non appena si fa clic su un collegamento diretto per il download, inizia automaticamente a scaricare quel file. La navigazione nella pagina Web fa parte della sessione di download. Se si vuole annullare la sessione di download, bisogna fare clic sulla patch e selezionare "Cancel Download" (“Annulla il download”). Una volta completato il download, il file viene messo automaticamente nella directory corretta. Scaricamento di una patch da una pagina Web con l’ausilio dell’assistente per il download. Fase 5: correggere i parametri d’impiego del file In via facoltativa, è possibile configurare su una patch parametri d’impiego alternativi, in base alle patch stesse. Per farlo, procedere come segue: Manuale di LANguard Network Security Scanner Impiego di patch • 57 1. Fare clic sul file di patch con il tasto destro del mouse e selezionare “Properties” (Proprietà). 2. In via facoltativa, specificare una sorgente URL di download alternativa. 3. In via facoltativa, specificare i parametri della riga di comandi da utilizzare durante l’impiego. È possibile controllare a quale bollettino si applica una patch facendo clic con il tasto destro del mouse sul file di patch e selezionando “Bulletin Info…” (Informazioni sul bollettino…) Proprietà del file di patch Fase 6: impiegare gli aggiornamenti Dopo aver selezionato i computer su cui mettere in funzione le patch, si è pronti per l’utilizzo! Fare clic su Start (Inizio) in basso a destra per avviare l’impiego. 58 • Impiego di patch Manuale di LANguard Network Security Scanner Avvio dell’impiego delle patch facendo clic su Start (Inizio). Inizia quindi l’impiego delle patch. È possibile controllare lo stato dell’impiego delle patch dalla scheda Deployment status (Stato della messa in funzione/impiego) Monitoraggio del processo di download. Impiego di software personalizzato Il tool dell’impiego di software personalizzato è molto pratico per mettere rapidamente in funzione patch personalizzate di software su tutta la rete, oppure persino per installare software su tutta la rete. Il tool dell’impiego di software personalizzato è inoltre usato spesso per Manuale di LANguard Network Security Scanner Impiego di patch • 59 installare aggiornamenti di firme antivirus su tutta la rete. Il processo d’impiego di software personalizzato è molto simile al processo di applicazione delle patch su una macchina. Impiego di software personalizzato Fase 1: selezionare le macchine su cui installare il software o le patch 1. Aprire il nodo Deploy custom software (Impiega software personalizzato) del nodo degli strumenti (Tools). 2. Fare clic sul pulsante “Add”’ (Aggiungi) per aggiungere un singolo computer oppure fare clic sul pulsante “Select” (Seleziona) per scegliere una serie di computer sui quali impiegare il software personalizzato. Nota: è possibile selezionare su quali macchine mettere in funzione il software personalizzato anche dal nodo “Security Scanner” (Scanner di sicurezza) e poi dal nodo “Tools > Enumerate Computers” (Strumenti > Conta computer). Fase 2: specificare il software da impiegare Fare clic sul pulsante “Add…” (Aggiungi…) della sezione “Patches:” (Patch:) per specificare la locazione sorgente del file e specificare eventuali parametri della riga di comandi che devono essere utilizzati per l’impiego del file. 60 • Impiego di patch Manuale di LANguard Network Security Scanner Indicazione del software da impiegare In via facoltativa, è possibile programmare un orario in cui la messa in funzione deve aver luogo Fase 3: avviare il processo d’impiego Una volta specificato il software da impiegare e i computer sui quali deve essere impiegato, è possibile avviare il processo d’impiego facendo clic sul pulsante Start (Inizio). Impiego di patch personalizzate che indicano quali file di patch impiegare e su quali computer. Manuale di LANguard Network Security Scanner Impiego di patch • 61 Opzioni d’impiego Scheda “General” (Generale) delle opzioni d’impiego È possibile configurare opzioni indugiando con il mouse sul pulsante delle opzioni, situato sul lato destro dello schermo. In questo punto è possibile: Scheda “General” (Generale) • Configurare il servizio dell’agente per l’impiego perché venga eseguito con credenziali alternative. • Riavviare il computer target dopo l’impiego. Alcune patch richiedono il riavvio della macchina dopo l’installazione. Selezionare questa casella di opzione se uno o più patch richiedono il riavvio della macchina. • Spegnere il computer dopo l’impiego degli aggiornamenti del software. • Avvertire l’utente prima dell’impiego: con questa opzione si invia un messaggio alla macchina target prima di impiegare gli aggiornamenti. • Chiudere i servizi prima dell’impiego: questa opzione chiude i servizi ISS e MS SQL Server prima dell’impiego. 62 • Impiego di patch Manuale di LANguard Network Security Scanner • Configurare GFI LANguard N.S.S. in modo che impieghi gli aggiornamenti del software mediante le risorse amministrative condivise o una condivisione personalizzata (in quest’ultimo caso, le risorse amministrative condivise non sono necessarie. Possono essere disabilitate per maggiore sicurezza). • Eliminare i file copiati sulle macchine remote dopo la messa in funzione. • Configurare particolari condizioni di filtraggio in base alle quali impiegare le patch (filtri di computer) Scheda “Advanced” (Opzioni avanzate) • Configurare il numero di thread di messa in funzione di patch da utilizzare • Configurare l’attesa massima d’impiego. Opzioni d’impiego avanzate Scheda Download Directory (Directory di scaricamento) • Configurare la directory in cui vanno archiviate le patch scaricate. Opzioni della directory di download NOTA: nel tool “Deploy custom patche”’ (Impiega patch personalizzate), i Computer filters (Filtri di computer) non saranno applicati a computer che non siano stati sottoposti a scansione dal tool dello scanner di sicurezza. Manuale di LANguard Network Security Scanner Impiego di patch • 63 Confronto tra risultati Perchè paragonare i risultati? Attraverso l’esecuzione di controlli regolari e la comparazione con i risultati di scansioni precedenti, è possibile farsi un’idea di quali falle nella sicurezza continuano a comparire o sono riaperte dagli utenti. Questo crea una rete più sicura. GFI LANguard Network Security Scanner aiuta a farlo consentendo di confrontare i risultati delle varie scansioni. GFI LANguard N.S.S. riporta le differenze e consente di prendere provvedimenti. È possibile confrontare i risultati manualmente o tramite le scansioni pianificate. Esecuzione di un confronto tra risultati di scansioni in modo interattivo Ogni volta che GFI LANguard N.S.S. effettua una scansione pianificata, salva il file XML dei risultati della scansione nella directory Data\Reports (Dati\Rapporti) della directory d’installazione di GFI LANguard N.S.S. È possibile inoltre salvare i risultati della scansione corrente in un file xml, facendo clic con il pulsante destro del mouse sul nodo Security Scanner (Scanner di sicurezza) e selezionando “Save scan results to XML file…” (Salva i risultati della scansione nel file XML…). Per confrontare due file XML di risultati di scansioni, procedere come segue: 1. Aprire lo strumento Result comparison (Confronto tra risultati) sotto GFI LANguard N.S.S. > Security Scanner > Result comparison (GFI LANguard N.S.S. > Scanner di sicurezza > Confronto tra risultati). 2. Selezionare due file di risultati di scansioni, o da file XML o da risultati archiviati nel terminale database, eseguite con le stesse opzioni e sulla stessa serie di computer, ma in tempi diversi, e fare clic su Compare (Confronta). Manuale di LANguard Network Security Scanner Confronto tra risultati • 65 Confronto tra risultati Il risultato sarà qualcosa di simile alla schermata sopra riportata. Illustra ciò che è stato abilitato o disabilitato ed eventuali modifiche della rete dall’ultima scansione operata. • La sezione New items (Nuovi elementi) illustra i nuovi eventi che si sono verificati dopo la prima scansione. • La sezione Removed items (Elementi rimossi) illustra eventuali dispositivi/problemi che sono stati rimossi dalla prima scansione operata. • La sezione “Changed items” (Elementi modificati) illustra gli elementi che hanno subito modifiche, quali un servizio che è stato abilitato oppure disabiltato tra una scansione e l’altra. Esecuzione di un confronto tramite l’opzione delle scansioni pianificate Anziché effettuare la scansione della rete manualmente tutti i giorni, settimane o mesi, è possibile impostare una scansione pianificata. Ad una certa ora viene eseguita una scansione pianificata in modo automatico e vengono inviate via email all’amministratore le differenze tra le scansioni pianificate. Ad esempio, l’amministratore può configurare la caratteristica delle “Scheduled Scan” (Scansioni pianificate) affinché effettui una scansione tutte le notti alle ore 23. Il servizio di supervisione di GFI LANguard N.S.S. lancerà una scansione per la sicurezza sul o sui computer target selezionato/i e salverà i risultati nel database centrale. Poi, confronterà i risultati attuali con i risultati della notte precedente e riporterà le differenze, se presenti. NOTA: la prima volta che viene effettuata una scansione pianificata o se non vengono rilevate differenze rispetto alla scansione precedente, GFI LANguard N.S.S. non invierà alcun rapporto via email. Si riceverà un rapporto unicamente se è stato modificato qualcosa. 66 • Confronto tra risultati Manuale di LANguard Network Security Scanner Manuale di LANguard Network Security Scanner Confronto tra risultati • 67 Monitor di stato di GFI LANguard N.S.S. Visualizzazione delle operazioni pianificate Il monitor di stato di GFI LANguard N.S.S. consente di monitorare lo stato delle scansioni pianificate attive e degli impieghi di aggiornamenti dei software. È inoltre possibile annullare operazioni d’impiego pianificate. Scansione pianificata attiva Per visualizzare lo stato delle scansioni pianificate attive, fare clic sull’icona del monitor di GFI LANguard N.S.S. nell’area di notifica di Windows e selezionare la scheda delle scansioni pianificate (Scheduled scans). Verranno visualizzate tutte le scansioni pianificate attive correnti e a che ora sono state avviate. Nota: come si deduce facilmente dal nome, nelle Active Scheduled Scans (Scansioni pianificate attive) vengono illustrate solo le scansioni attive correnti. Per controllare quali scansioni risultano pianificate ed annullare eventuali scansioni, aprire GFI LANguard N.S.S. e fare clic su GFI LANguard N.S.S. > Configuration > Scheduled Scans (GFI LANguard N.S.S. > Configurazione > Scansioni pianificate) Scansione programmata completata Manuale di LANguard Network Security Scanner Monitor di stato di GFI LANguard N.S.S. • 69 Per annullare una scansione programmata attiva, selezionare quella che si desidera annullare e fare clic sul pulsante “Stop Selected Scan(s)” (“Arresta la/le scansione/i selezionata/e”). Scansione annullata Impieghi pianificati Per visualizzare lo stato delle scansioni pianificate attive, fare clic sull’icona del monitor di GFI LANguard N.S.S. nella barra degli strumenti di Windows e selezionare la scheda degli impieghi pianificati (Scheduled deployments). Impieghi pianificati 70 • Monitor di stato di GFI LANguard N.S.S. Manuale di LANguard Network Security Scanner Per annullare l’impiego pianificato di una aggiornamento software, selezionare la voce che si desidera annullare e fare clic su “Cancel Selected deployment” (Annulla l’impiego selezionato). Impiego annullato Manuale di LANguard Network Security Scanner Monitor di stato di GFI LANguard N.S.S. • 71 Opzioni di manutenzione del database Introduzione Utilizzare il nodo delle opzioni di manutenzione del database per selezionare il terminale database da utilizzare per archiviare i risultati di scansione salvati. È inoltre possible configurare le opzioni di manutenzione del database, per esempio, l’eliminazione automatica dei risultati di scansione precedenti una certa data. Se, come terminale database, si utilizza MS Access, si può pianificare una compattazione del database per evitare la corruzione dei dati. Le opzioni di manutenzione del database sono accessibili: 1. Aprendo GFI LANguard N.S.S. > Configuration (GFI LANguard N.S.S. > Configurazione) e poi facendo clic con il tasto destro del mouse su Database Maintenance Options (Opzioni di manutenzione del database). 2. Selezionando Properties (Proprietà). Scheda “Change Database” (Cambia database) La scheda "Change Database" (Cambia database) contiene le opzioni che consentono di cambiare il terminale database utilizzato da GFI LANguard N.S.S. per archiviare i risultati di scansione. I terminali database supportati sono MS Access o MS SQL Server. MS Access Specificare il percorso completo (comprese il nome del file) da utilizzare come terminale database MS Access. NOTA: se tale file non esiste, verrà automaticamente creato. Manuale di LANguard Network Security Scanner Opzioni di manutenzione del database • 73 Cambia database – MS Access MS SQL Server Specificare il nome/IP del server con installato MS SQL Server. È inoltre necessario specificare le credenziali di accesso SQL Server (GFI LANguard N.S.S. non supporta la modalità di autenticazione NT). NOTA: se il server e le credenziali indicate sono corretti, GFI LANguard N.S.S. accederà a SQL Server e creerà le tabelle di database necessarie. Se queste sono già presenti, LANguard N.S.S. le riutilizzerà. 74 • Opzioni di manutenzione del database Manuale di LANguard Network Security Scanner Cambia database – SQL Server Scheda “Manage Saved Scan results” (Gestisci risultati di scansione salvati) La scheda "Change Database" (Cambia database) contiene le opzioni che consentono di eliminare dal terminale database i risultati di scansione salvati. È possibile eliminare manualmente le scansioni oppure eliminare le scansioni salvate in base all’età. Scheda “Advanced Options” (Opzioni avanzate) La scheda "Advanced" (Opzioni avanzate) contiene le opzioni che consentono di pianificare una compattazione del terminale database. È anche possibile configurare compattazioni automatiche da parte del servizio di supervisione. NOTA: la compattazione dei database ha luogo per rimuovere definitivamente registrazioni contrassegnate per l’eliminazione. Manuale di LANguard Network Security Scanner Opzioni di manutenzione del database • 75 Opzioni di manutenzione del database – Opzioni di compattazione 76 • Opzioni di manutenzione del database Manuale di LANguard Network Security Scanner Strumenti Introduzione Nel menu “Tools” (Strumenti) si trovano i seguenti strumenti: • DNS Lookup (Ricerca DNS) • Whois Client (Chi è il client) • Trace Route (Traccia del percorso) • SNMP Walk • SNMP Audit (Controllo SNMP) • MS SQL Server Audit (Controllo di MS SQL Server) • Enumerate Computers (Conta computer) Ricerca DNS Questo strumento sistema il “Domain Name” (Nome del dominio) in un indirizzo IP corrispondente e, inoltre, fornisce informazioni sul nome del dominio: se ha un record MX, ecc. Strumento per la ricerca DNS Per ottenere informazioni sul nome di un dominio, procedere come segue: Manuale di LANguard Network Security Scanner Strumenti • 77 1. Andare al nodo Tools > DNS lookup (Strumenti > Ricerca DNS). 2. Specificare il nome dell’host da sistemare 3. Specificare le informazioni da acquisire: • Basic Information (Informazioni di base) – cioè, il nome dell’host e quale IP viene sistemato • Host Information (Informazioni sull’host) – Note tecnicamente come HINFO, di solito contengono informazioni come hardware e sistema operativo che risiede sul dominio specificato (la maggior parte delle voci DNS non contengono tali informazioni per ragioni di sicurezza). • Aliases (Alias) – restituisce informazioni che potrebbero essere contenute nella sezione Records the Domain (Registra il dominio). • MX Records (Record MX), noti anche come record mail exchanger (risorse di scambio di posta), illustrano quali server di posta sono responsabili per questo dominio e in quale ordine. • NS Records (Record NS) indicano quali name server sono responsabili per questo dominio. Inoltre, è possibile specificare un server DNS alternativo. Trace Route (Tracciato del percorso) Strumento Trace route (Tracciato del percorso) Questo strumento illustra il percorso di rete seguito da GFI LANguard N.S.S. per raggiungere la macchina target. Quando si esegue un tracciato del percorso, a fianco di ciascun hop è riportata un’icona: • • 78 • Strumenti indica un hop riuscito entro i normali parametri indica un hop riuscito, ma il tempo richiesto è stato piuttosto lungo. Manuale di LANguard Network Security Scanner • • indica un hop riuscito, ma il tempo richiesto è stato troppo lungo indica che l’hop è scaduto (cioè, è durato oltre 1.000ms). Whois Client (Chi è il client) Strumento Whois (Chi è) Questo strumento ricerca informazioni su un dominio o su un indirizzo IP. È possibile selezionare uno specifico Whois Server (NDT: i server che hanno registrati tutti i dati sui domini) dall’area delle opzioni oppure si può utilizzare l’opzione “Default” (Predefinito) che selezionerà il server in modo automatico. SNMP Walk SNMP walk consente di raccogliere informazioni SNMP. Il pannello di destra contiene un elenco di nomi che simbolizzano Object ID (ID degli oggetti) specifici presenti sul dispositivo. Per saperne di più sulle informazioni fornite da SNMP walk, bisogna rivolgersi al distributore. Alcuni distributori forniscono numerosi dettagli sul significato di ciascun dato, altri non forniscono alcuna documentazione, nonostante i loro dispositivi supportino SNMP. Per utilizzare l’utility, fare clic su Tools > SNMP walk (Strumenti > SNMP walk). Immettere l’indirizzo IP di una macchina o dispositivo che si desidera sottoporre a scansione/”walk”. Nota: in gran parte dei casi SNMP deve essere bloccato al livello del router/firewall, in modo che gli utenti esterni di Internet non siano in grado di effettuare la scansione SNMP della rete. È possibile fornire community string alternative. Nota: SNMP aiuta utenti malintenzionati ad apprendere molte informazioni sul proprio sistema, rendendo più semplici la scoperta Manuale di LANguard Network Security Scanner Strumenti • 79 delle password ed altri attacchi simili. Si consiglia vivamente di disattivare SNMP, a meno che tale servizio non sia richiesto. SNMP Audit (Controllo SNMP) Lo strumento SNMP Audit (Controllo SNMP) consente di eseguire un controllo SNMP su un dispositivo e di cercare community string deboli. Alcuni dispositivi di rete sono dotati di community string alternative o non predefinite. Il file dictionary (dizionario) contiene un elenco di popolari community string da verificare. Il file predefinito utilizzato da questo strumento per l’attacco del dizionario si chiama “snmppass.txt”. È possibile aggiungere nuovi nomi di community a questo file ovvero dirigere il controllo SNMP perché si avvalga di un file completamente diverso. Per avvalersi dell’utility, inserire l’indirizzo IP di una macchina che esegue SNMP e fare clic su Retrieve (Acquisisci). MS SQL Server Audit (Controllo di MS SQL Server) Questo strumento consente di eseguire un controllo su un’installazione Microsoft SQL Server. È possibile controllare sia l’account SA (NDT: account di amministrazione) sia account SQL. Per impostazione predefinita, il tool usa il file dizionario denominato “passwords.txt”. È possibile aggiungere nuove password a questo file ovvero dirigere l’utilità verso un altro file di password. Per eseguire un controllo su server SQL, inserire l’indirizzo IP della macchina che esegue MS SQL. Se si desidera scoprire le password di tutti gli account SQL, si deve immettere un nome utente e una password per accedere ad SQL e acquisire tutti gli account utente. Strumento di controllo di account SQL 80 • Strumenti Manuale di LANguard Network Security Scanner Enumerate Computers (Conta computer) Strumento per l’elencazione dei computer Questa utility cerca i Domini e/o Gruppi di lavoro presenti sulla rete. Una volta trovati, è possibile effettuare la scansione di tali Domini per acquisire l’elenco dei computer in essi presenti. Una volta effettuata la scansione, l’utility elenca il tipo di sistema operativo installato su quella macchina ed eventuali commenti che possono essere elencati, tramite NETBIOS. I computer possono essere contati utilizzando uno dei seguenti metodi: • da Active Directory. Questo metodo è molto più rapido e conta anche i computer che in quel momento sono spenti • mediante l’interfaccia di Windows Explorer. Questo metodo è più lento e non conta i computer spenti. È possibile specificare quale metodo utilizzare dalla scheda “Information source” (Sorgente delle informazioni). Si noti che bisogna effettuare la scansione utilizzando un account che abbia diritti di accesso ad Active Directory. Lancio di una scansione per la sicurezza Una volta contati i computer del dominio, è possibile lanciare una scansione su macchine selezionate facendo clic con il tasto destro del mouse su uno dei computer conteggiati e selezionando l’opzione “Scan” (Effettua la scansione). Se si vuole lanciare la scansione e continuare ad usare lo strumento “Enumerate computers” (Elencazione dei computer), selezionare l’opzione “Scan in background” (Effettua la scansione in background). Manuale di LANguard Network Security Scanner Strumenti • 81 Impiego di patch personalizzate Selezionare le macchine su cui si vogliono impiegare gli aggiornamenti su “> Right click on any selected machine > Deploy Custom Patches” (>Fare clic con il tasto destro del mouse su una macchina selezionata > Impiego di patch personalizzate). Abilitazione di politiche di controllo Selezionare le macchine su cui si vogliono abilitare le politiche di controllo su “> Right click on any selected machine > Enable Auditing Policies….” (>Fare clic con il tasto destro del mouse su una macchina selezionata > Abilita politiche di controllo…). Elencazione di utenti La funzione di “Enumerate users” (Elencazione di utenti) si connette ad Active Directory e acquisisce tutti gli utenti e i contatti presenti in Active Directory. 82 • Strumenti Manuale di LANguard Network Security Scanner Aggiunta di controlli di vulnerabilità tramite condizioni o script Introduzione GFI LANguard N.S.S. permette di aggiungere rapidamente controlli della vulnerabilità personalizzati. Tale operazione può essere effettuata in 2 modi: scrivendo uno script o utilizzando una serie di condizioni. Qualunque sia il metodo utilizzato, si deve aggiungere la vulnerabilità attraverso l’interfaccia dello scanner di Sicurezza ed indicare il nome dello script oppure le condizioni che devono essere applicate. Nota: solo utenti espertidovrebbero creare nuove Vulnerabilità, poiché una configurazione imprecisa delle Vulnerabilità produrrebbe falsi positivi o non fornirebbe alcuna informazione sulle Vulnerabilità. Linguaggio VBscript di GFI LANguard N.S.S. GFI LANguard N.S.S. include un linguaggio scripting compatibile con VBscript. Questo linguaggio è stato creato per semplificare l’aggiunta di controlli personalizzati. Consente inoltre a GFI LANguard N.S.S. di aggiungere rapidamente nuovi controlli di vulnerabilità e di renderli disponibili per il download. Il prodotto è munito di un editor con capacità di evidenziazione della sintassi e di un debugger. Per ulteriori informazioni sulle modalità di scrittura degli script, si rimanda al file della guida in linea “Scripting documentation” (Documentazione di scripting), accessibile dal gruppo di programmi GFI LANguard N.S.S. NOTA IMPORTANTE: GFI non è in grado di fornire assistenza nella creazione di script che non funzionano. È possibile inviare eventuali quesiti sullo scripting di GFI LANguard N.S.S. al forum di GFI LANguard, alla pagina http://forums.gfi.com, dove si possono condividere script e idee con altri utenti di GFI LANguard N.S.S. Modulo SSH di GFI LANguard N.S.S. GFI LANguard N.S.S. è dotato di un modulo SSH per l’esecuzione di script di vulnerabilità su sistemi Linux. Il modulo analizza i dati di console stampati dallo script. È cioè possibile utilizzare sulla macchina target con sistema operativo Linux, qualsiasi linguaggio di script o di programmazione supportati, che consenta l’emissione dei risultati sulla console (modalità testo). Manuale di LANguard Network Security Scanner Aggiunta di controlli di vulnerabilità tramite condizioni o script • 83 Parole chiave: Il modulo SSH è in grado di eseguire qualunque script supportato e può essere eseguito sulla macchina Linux target dalla sua finestra terminale. Quando si esegue un controllo di vulnerabilità basato su SSH, lo script SSH viene copiato sulla macchina target mediante una connessione SSH stabilita servendosi delle credenziali specificate all’inizio della scansione. Al file copiato vengono poi attribuite autorizzazioni come eseguibile e viene eseguito sulla macchina target. L’output di testo generato da questo script è analizzato dal modulo SSH. Grazie all’output, il modulo SSH sa quando lo script ha cessato l’esecuzione e se il risultato sia positivo o meno. Il modulo SSH gestisce le seguenti parole chiave, che vengono intepretate come istruzioni per GFI LANguard N.S.S.: • TRUE: (VERO:) • FALSE: (FALSO:) • AddListItem (Aggiungi Elemento Elenco) • SetDescription (Imposta Descrizione) • !!SCRIPT_FINISHED!! (!!SCRIPT_CONCLUSO!!) Quando il modulo SSH rileva uno degli output di testo sopra elencati, elabora la stringa in maniera specifica, in base alla parola chiave trovata. TRUE: (VERO:) e FALSE: (FALSO:) Quando il modulo SSH rileva una delle seguenti stringhe, imposta il risultato del controllo di vulnerabilità su VERO oppure su FALSO. AddListItem (Aggiungi Elemento Elenco) AddListItem costituisce una funzione interna utilizzata per aggiungere risultati allo stesso albero del controllo di vulnerabilità, secondo quanto illustrato nell’interfaccia utente (UI). La sintassi corretta per questa funzione è la seguente: AddListItem([[[<parent node>]]],[[[<actual string>]]]) Elemento Elenco([[[<nodo genitore>]]],[[[<stringa reale>]]]) (Aggiungi Il primo parametro, [[[<parent node>]]] ([[[<nodo genitore>]]]), indica il nome del nodo genitore. Il secondo parametro, [[[<actual string>]]] ([[[<stringa reale>]]]), indica il valore di quel nodo nell’albero. NOTA: se il parametro del nodo genitore non è compilato, la funzione aggiunge la stringa specificata sul primo nodo disponbile in cima per quel controllo. Ogni vulnerabilità ha il proprio nodo di avvio. L’eventuale comando AddListItem crea un nodo figlio sotto il nodo di vulnerabilità di quel controllo. SetDescription (Imposta Descrizione) SetDescription costituisce una funzione interna in grado di sovrascrivere sulla descrizione predefinita impostata all’interno del controllo di vulnerabilità. Esistono controlli di vulnerabilità dei quali si vuole magari modificare il nome predefinito dato che viene mostrato nell’albero. 84 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di LANguard Network Security Scanner SetDescription(<New description>) [Imposta Descrizione (<Nuova descrizione>)] !!SCRIPT_FINISHED!! (!!SCRIPT_CONCLUSO!!) Ogni script deve stampare il testo !!SCRIPT_FINISHED!! (!!SCRIPT_CONCLUSO!!). Questa stringa segna la fine di ogni esecuzione di script. Il modulo SSH cerca tale stringa finché non l’ha trovata o finché il timeout (attesa massima) non scade. Se il timeout scade prima che il modulo SSH riceva la stringa, esso ignora lo script e la vulnerabilità non vine visualizzata neppure se il parametro VERO: viene restituito al moduolo SSH con esito positivo prima del timeout. Diventa pertanto imperativo che ogni script, indipendentemente dalla dimensione del controllo, riporti come output il testo !!SCRIPT_FINISHED!! (!!SCRIPT_CONCLUSO!!) alla fine dell’elaborazione. NOTA IMPORTANTE: GFI non fornisce assistenza nella creazione o correzione di script che non funzionano. È possibile inviare eventuali quesiti sullo scripting di GFI LANguard N.S.S. al forum di GFI LANguard, alla pagina http://forums.gfi.com, dove si possono condividere script e idee con altri utenti di GFI LANguard N.S.S. Esempio: Per illustrare le tecniche sopra descritte, si riporta di seguito la creazione di un controllo di vulnerabilità passo dopo passo. Innanzi tutto, si crea uno script SSH con funzionalità molto elementari. Esso utilizza tutte le parole chiave illustrate in precedenza e si limita a generare una nuova descrizione e ad aggiungere 2 elementi all’albero delle vulnerabilità. Lo script SSH, denominato “test.sh” consiste nel seguente codice: #!/bin/bash echo "TRUE:" (echo "VERO:") time=`date` (ora=`data`) echo "SetDescription(New Script Generated Description at :$time)" (echo "Imposta Descrizione (Nuova descrizione di script generate a :$ora)") echo "AddListItem([[[Child 1]]],[[[Added Item 1]]])" (echo "Aggiungi Elementi Elenco([[[Figlio 1]]],[[[Elemento aggiunto 1]]])" echo "AddListItem([[[Child 2]]],[[[Added Item 2]]])" (echo "Aggiungi Elementi Elenco([[[Figlio 1]]],[[[Elemento aggiunto 1]]])" echo "!!SCRIPT_FINISHED!!" (echo “!!SCRIPT_CONCLUSO!!”) Quindi viene create una vulnerabilità che esegue tale script su una macchina Linux remota. La vulnerabilità assumerà il seguente formato: Manuale di LANguard Network Security Scanner Aggiunta di controlli di vulnerabilità tramite condizioni o script • 85 La scansione di una macchina Linux con le credenziali corrette attiva questo controllo che è impostato su Always Trigger (Attiva sempre). La vulnerabilità summenzionata genererà il seguente output: 86 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di LANguard Network Security Scanner Output di script basato su SSH con feedback (risposta) dello script È possible trovare ulteriori esempi di script SSH in: [the Main GFI LANguard N.S.S. directory]\data\scripts\ (directory principale di GFI LANguard N.S.S.]\dati\script\) Tutti i file che finiscono con “.sh” sono script SSH (si noti che gli script SSH possono avere qualsiasi estensione e non soltanto l’estensione “.sh” per poter funzionare). Aggiunta di un controllo di vulnerabilità che utilizza uno script vbs personalizzato È possibile aggiungere controlli di vulnerabilità che utilizzano uno script personalizzato. È possibile creare tali script personalizzati mediante l’editor o il debugger di GFI LANguard NSS. Per farlo, procedere come segue: Fase 1: creazione dello script 1. Lanciare il programma GFI LANguard N.S.S. Script Debugger selezionando “Start > Programs > GFI LANguard Network Security Scanner > Script Debugger” (Avvio > Programmi > GFI LANguard Network Security Scanner > Debugger di script) 2. “File > New…” (File > Nuovo…) 3. Creare uno script. Ad esempio, si può utilizzare il seguente script fittizio e immetterlo nel debugger: Manuale di LANguard Network Security Scanner Aggiunta di controlli di vulnerabilità tramite condizioni o script • 87 “Function Main” (Funzione Principale) echo “Script has run successfully” (echo “Lo script è stato eseguito con successo”) Main = true (Principale = vero) End Function (Fine funzione) 4. Salvare il file, ad esempio, "c:\myscript.vbs" Fase 2: aggiunta del nuovo controllo di vulnerabilità: 1. Aprire il nodo GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles (Programma principale di GFI LANguard N.S.S. > Configurazione > Profili di scansione). 2. Aprire la scheda delle Scanned Vulnerabilities (Vulnerabilità sottoposte a scansione) e selezionare la categoria cui deve appartenere la nuova vulnerabilità. 3. Fare clic sul pulsante Add (Aggiungi). Viene visualizzata la finestra di dialogo New vulnerability Check (Nuovo controllo di vulnerabilità). Aggiunta del nuovo controllo di vulnerabilità 4. Immettere quindi i dettagli minimi, quali il nome, una breve descrizione, il livello di sicurezza, l’URL (ove applicabile). È anche possibile specificare il tempo necessario per eseguire questo controllo. 5. Fare clic sul pulsante Add… (Aggiungi…) 6. Quindi, selezionare Script nell’elenco dei tipi di Check (Controlli). 88 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di LANguard Network Security Scanner Selezione dello script che contiene il codice del controllo di vulnerabilità 7. Specificare la locazione dello script "c:\myscript.vbs". Fare clic su “Add” (Aggiungi) per aggiungere la vulnerabilità. Il controllo verrà eseguito durante la successiva scansione per la ricerca di vulnerabilità. 8. Per metterlo alla prova, basta semplicemente effettuare la scansione della macchina host locale e si vedrà l’avviso di vulnerabilità nella sezione “miscellaneous” (“vulnerabilità varie”) del nodo delle vulnerabilità dei risultati di scansione. Aggiunta di un controllo di vulnerabilità che utilizza uno script SSH personalizzato Si possono aggiungere controlli di vulnerabilità che utilizzano script personalizzati, impiegati ed eseguiti dal modulo SSH sulla macchina Linux sottoposta a scansione. Lo script può essere programmato in qualunque linguaggio di script o di programmazione che supporti la stampa sulla console. Per questo esempio ci si avvale del sistema di script bash gneralmente disponibile su tutti i sistemi Linux per impostazione predefinita. Fase 1: creazione dello script 1. Lanciare il proprio editor di file di testo preferito. 2. Accertarsi di iniziare un nuovo file e di salvarlo in “LNSS main directory\data\scripts”. 3. Nel file di testo digitare quanto segue: #!/bin/bash if [ -e test.file ] (se [ -e test.file ]) allora echo "TRUE:" (echo "VERO:") Manuale di LANguard Network Security Scanner Aggiunta di controlli di vulnerabilità tramite condizioni o script • 89 altrimenti echo "FALSE:" (echo "FALSO:") if (se) echo "!!SCRIPT_FINISHED!!" (echo “!!SCRIPT_CONCLUSO!!”) 4. Salvare il file, ad esempio, "C:\Program Files\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscript" ("C:\Tutti i programmi \GFI\LANguard Network Security Scanner 6.0\Dati\Script\myscript") Fase 2: aggiunta del nuovo controllo di vulnerabilità: 1. Aprire il nodo GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles (Programma principale di GFI LANguard N.S.S. > Configurazione > Profili di scansione). 2. Aprire la scheda delle Scanned Vulnerabilities (Vulnerabilità sottoposte a scansione) e selezionare la categoria cui deve appartenere la nuova vulnerabilità. 3. Fare clic sul pulsante Add (Aggiungi). Viene visualizzata la finestra di dialogo New vulnerability Check (Nuovo controllo di vulnerabilità). Aggiunta del nuovo controllo di vulnerabilità 4. Immettere ora i dettagli minimi, quali il nome, una breve descrizione, il livello di sicurezza, l’URL (ove applicabile). È anche possibile specificare il tempo necessario per eseguire questo controllo. 5. Fare clic sul pulsante Add… (Aggiungi…) 90 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di LANguard Network Security Scanner 6. Quindi, selezionare Script SSH nell’elenco dei tipi di Check (Controlli). Selezione dello script che contiene il codice del controllo di vulnerabilità 7. Specificare la locazione dello script "C:\Program Files\GFI\LANguard Network Security Scanner 6.0\Data\Scripts\myscript" ("C:\Tutti i programmi \GFI\LANguard Network Security Scanner 6.0\Dati\Script\myscript"). Fare clic su “Add” (Aggiungi) per aggiungere la vulnerabilità. Il controllo verrà eseguito durante la successiva scansione per la ricerca di vulnerabilità. 8. Per metterlo alla prova, basta semplicemente effettuare la scansione della macchina target Linux locale (creare il file “test.file” per attivare la vulnerabilità). Per eseguire tale operazione, collegarsi alla macchina Linux, andare all’utente che si utilizzerà per la scansione, home directory e digitare il comando “touch test.file”. Dopo il completamento della scansione, sotto il nodo delle vulnerabilità configurato nella fase 2, si dovrebbe visualizzare l’avviso di vulnerabilità appena creato. Aggiunta di un controllo di vulnerabilità CGI È anche possibile aggiungere vulnerabilità senza scrivere degli script. Per esempio, un controllo di vulnerabilità CGI. Per farlo, procedere come segue: 1. Aprire il nodo GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles (Programma principale di GFI LANguard N.S.S. > Configurazione > Profili di scansione). 2. Aprire la scheda Scanned Vulnerabilities (Vulnerabilità sottoposte a scansione) e selezionare il nodo delle vulnerabilità CGI. Ora fare clic sul pulsante Add (Aggiungi). Viene visualizzata la finestra di dialogo new CGI vulnerability check (Nuovo controllo di vulnerabilità CGI). Manuale di LANguard Network Security Scanner Aggiunta di controlli di vulnerabilità tramite condizioni o script • 91 Creazione di una nuova vulnerabilità CGI 3. Immettere ora i dettagli minimi, quali il nome, una breve descrizione, il livello di sicurezza, l’URL (ove applicabile). È anche possibile specificare il tempo necessario per eseguire questo controllo. 4. Specificare l’HTTP method: (il metodo HTTP): i 2 metodi supportati da GFI LANguard N.S.S. nella sua sezione “CGI abuse” (Abuso CGI) sono GET e HEAD. 5. Specificare l’URL to check (URL da controllare): dell’URL che GFI LANguard N.S.S. deve interrogare. si tratta 6: Specificare la Return String: (Stringa di ritorno): si tratta di ciò che GFI LANguard N.S.S. deve cercare nella risposta ricevuta per vedere se la macchina è vulnerabile nei confronti di questo attacco. Aggiunta di altri controlli di vulnerabilità È anche possibile aggiungere vulnerabilità senza scrivere degli script. Utilizzano lo stesso formato di base del controllo di vulnerabilità CGI, tuttavia è possibile impostare condizioni più complesse. Per farlo, procedere come segue: 1. Aprire il nodo GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles (Programma principale di GFI LANguard N.S.S. > Configurazione > Profili di scansione). 2. Aprire la scheda Scanned Vulnerabilities (Vulnerabilità sottoposte a scansione) e selezionare il tipo di vulnerabilità che si desidera 92 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di LANguard Network Security Scanner aggiungere facendo clic sulla categoria cui la nuova vulnerabilità dovrà appartenere. Ora fare clic sul pulsante Add (Aggiungi). Viene visualizzata la finestra di dialogo New vulnerability Check (Nuovo controllo di vulnerabilità). Creazione di una nuova Vulnerabiltà 3. Immettere ora i dettagli minimi, quali il nome, una breve descrizione, il livello di sicurezza, l’URL (ove applicabile). È anche possibile specificare il tempo necessario per eseguire questo controllo. 4. Si deve poi specificare cosa controllare. Per aggiungere qualcosa da controllare, fare clic con il pulsante destro del mouse nella finestra Trigger condition (Attiva condizione) e aggiungere un nuovo controllo. 5. È possibile specificare uno dei seguenti elementi per stabilire un contrassegno delle vulnerabilità di: • • Sistema operativo o è o non è Chiave di registro o esiste o non esiste Nota: funziona solo sotto HKEY_LOCAL_MACHINE • Percorso di Registro Manuale di LANguard Network Security Scanner Aggiunta di controlli di vulnerabilità tramite condizioni o script • 93 o esiste o non esiste Nota: funziona solo sotto HKEY_LOCAL_MACHINE • Valore di Registro o è pari a o è diverso da o è minore di o è maggiore di Nota: funziona solo sotto HKEY_LOCAL_MACHINE • • • • • • • • • Service pack o è o non è o è inferiore a o è superiore a Hotfix o è installato o non è installato o è installato o non è installato IIS Versione IIS o è o non è o è inferiore a o è superiore a Servizio RPC o è installato o non è installato Servizio NT o è installato o non è installato Esecuzione del servizio NT o è in esecuzione o non è in esecuzione Tipo di avvio del servizio NT o automatico o manuale o disabilitato Porta (TCP) o è aperta o è chiusa 94 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di LANguard Network Security Scanner • Porta UDP • o è aperta o è chiusa Banner FTP o è o non è Nota: è possibile creare espressioni che ricerchino da Versione 1.0 a 1.4 e da Versione 2.0 a 2.2, ma non da Versione 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner HTTP o è o non è Nota: è possibile creare espressioni che ricerchino da Versione 1.0 a 1.4 e da Versione 2.0 a 2.2, ma non da Versione 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner SMTP o è o non è Nota: è possibile creare espressioni che ricerchino da Versione 1.0 a 1.4 e da Versione 2.0 a 2.2, ma non da Versione 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner POP3 o è o non è Nota: è possibile creare espressioni che ricerchino da Versione 1.0 a 1.4 e da Versione 2.0 a 2.2, ma non da Versione 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner DNS o è o non è Nota: è possibile creare espressioni che ricerchino da Versione 1.0 a 1.4 e da Versione 2.0 a 2.2, ma non da Versione 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner SSH o è o non è Nota: è possibile creare espressioni che ricerchino da Versione 1.0 a 1.4 e da Versione 2.0 a 2.2, ma non da Versione 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner Telnet o è o non è Nota: è possibile creare espressioni che ricerchino da Versione 1.0 a 1.4 e da Versione 2.0 a 2.2, ma non da Versione 1.5 a 1.9. Si vedano gli esempi di seguito. Manuale di LANguard Network Security Scanner Aggiunta di controlli di vulnerabilità tramite condizioni o script • 95 • • Script o restituisce True (1) [Vero (1)] o restituisce False (0) [Falso (0)] Script SSH o restituisce True (TRUE:) [Vero (VERO:)] o restituisce False (FALSE:) [Falso (FALSO:)] 6. Come si può notare, ogni opzione summenzionata è munita della propria serie di criteri sui quali può essere basato il controllo di vulnerabilità. Se si creano controlli di vulnerabilità troppo generici, si ricevono troppi rapporti falsi. Pertanto, se si decide di creare i propri controlli di vulnerabilità, accertarsi di progettarli in modo molto specifico e di pianificarli accuratamente. Per attivare un controllo di vulnerabilità, non si è limitati solo ad una delle opzioni sopra descritte; si può impostare il controllo per più condizioni, ad esempio: • Controlla il sistema operativo • la porta XYZ • il banner “ABC” • lo script LANS, l’esecuzione QRS e controlla la vulnerabilità Se vengono soddisfatti tutti i criteri precedenti, allora e soltanto allora, viene attivato il controllo di vulnerabilità. Nota: la creazione di espressioni consente di eseguire un controllo di vulnerabilità come quello seguente, utilizzato per controllare la versione di Apache in esecuzione su una macchina: ~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([09][^0-9]|[0-2][0-9]|3[0-8])). Per coloro che sono esperti del linguaggio C o Perl, il formato sopra descritto è lo stesso utilizzato in tali linguaggi. Esistono molte pagine di guida su Internet relative alle modalità di utilizzo di questo formato. Negli esempi successivi cerchermo di spiegarlo, ma per ulteriore guida, si rimanda alla fine della presente sezione per un collegamento ipertestuale. Se si desidera vedere un esempio di creazione di una nuova Vulnerabilità contenente uno script, consultare la “GFI LANguard N.S.S. scripting documentation” (“Documentazione sullo scripting di GFI LANguard N.S.S.”). 96 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di LANguard Network Security Scanner Risoluzione dei problemi Introduzione Questo capitolo descrive come risolvere eventuali problemi con il prodotto. Le principali fonti di informazioni disponibili per gli utenti sono le seguenti: 1. Il presente manuale: la maggior parte dei problemi può essere risolta leggendo il manuale. 2. La knowledgebase di GFI, alla pagina: http://kbase.gfi.com. 3. Il sito del supporto GFI, alla pagina: http://support.gfi.com 4. Contattando il servizio assistenza tecnica di GFI all’indirizzo email [email protected] 5. Contattando il servizio assistenza tecnica di GFI attraverso il servizio di LiveSupport all’indirizzo http://support.gfi.com/livesupport.asp 6. Contattando telefonicamente il nostro servizio assistenza tecnica. Knowledgebase GFI mantiene una knowlegdebase contenente le risposte ai problemi più comuni. In caso di problemi, consultare prima la knowledgebase. La pagina web della knowledgebase dispone sempre dell’elenco più aggiornato di richieste di assistenza e di patch. La knowledgebase è disponibile alla pagina: http://kbase.gfi.com. Domande più frequenti (FAQ) generali Richiesta di assistenza tramite email Se il problema non può essere risolto neanche dopo aver consultato la knowledgebase ed il presente manuale, è possibile contattare il servizio assistenza tecnica di GFI. Il modo migliore per contattarlo è tramite email, perché così si possono inserire le informazioni di cruciale importanza, quali un allegato, che consentirebbero di risolvere il problema più rapidamente. Il Troubleshooter (Esperto nella risoluzione dei problemi), compreso nel gruppo di programmi, genera automaticamente un certo numero di Manuale di LANguard Network Security Scanner Risoluzione dei problemi • 97 file richiesti da GFI per fornire l’assistenza tecnica. I file contengono le impostazioni di configurazione, ecc. Per generare questi file, avviare il troubleshooter e seguire le istruzioni dell’applicazione. Inoltre, per ottenere tutte le possibili informazioni, saranno anche poste delle domande. Si usi il tempo necessario per rispondere a tali domande in modo accurato. Senza informazioni adeguate non sarà possibile diagnosticare in modo corretto il problema. Aprire quindi la directory dell’assistenza, situata sotto la directory del programma principale, ZIP the files (Comprimi i file) e inviare i file appena generati all’indirizzo email: [email protected]. Accertarsi innanzitutto di avere registrato il proprio prodotto sul nostro sito web: http://www.gfi-italia.com/pages/regfrm.htm! La richiesta sarà evasa entro 24 ore o meno, a seconda del fuso orario. Richiesta di supporto tramite web-chat E’ anche possibile richiedere assistenza attraverso Live Support (webchat). E’ possibile contattare il servizio assistenza tecnica di GFI utilizzando i servizio Live Support all’indirizzo http://support.gfi.com/livesupport.asp Assicurarsi innanzitutto di avere registrato il proprio prodotto sul nostro sito Web: http://www.gfi-italia.com/pages/regfrm.htm! Richiesta di assistenza telefonica E’ inoltre possibile contattare GFI telefonicamente per richiedere assistenza tecnica. A tale proposito, si prega di consultare il sito web per i corretti recapiti telefonici e i nostri orari di ufficio, in base alla propria sede. Sito web di supporto: http://support.gfi.com. Assicurarsi innanzitutto di avere registrato il proprio prodotto sul nostro sito Web: http://www.gfi-italia.com/pages/regfrm.htm! Forum via web E’ disponibile un servizio di supporto tra utenti tramite il forum via Internet. Si può accedere al forum dal sito: http://forums.gfi.com/ Notifiche di aggiornamento delle versioni Consigliamo fortemente di iscriversi al nostro elenco di notifiche di aggiornamento delle versioni. In questo modo si viene immediatamente informati relativamente alla creazione di nuovi prodotti. Per sottoscrivere tale servizio, andare sul sito: http://support.gfi.com 98 • Risoluzione dei problemi Manuale di LANguard Network Security Scanner T Tracciato del percorso 78, Indice analitico U Utenti 83 Utenti 5, 18 X XML 7 A Apertura porte 6 C Condivisioni 5, 17 Controllo SNMP 80 G gruppi 5, 21 H Hot fix 23 HTML 7 L Licenza 7 P Politica delle password 18 politica di sicurezza 5 politica di sicurezza 5 R Registro di configurazione del sistema (Registry) 18 Requisiti di sistema 9 Ricerca DNS 77 Ricerca DNS 77 Ricerca DNS 79 Ricerca DNS 79 Ricerca DNS 80 Ricerca DNS 80 Ricerca DNS 81 Ricerca DNS 81 Ricerca DNS 82 Ricerca DNS 82 S Servizi 6 Sistema operativo 7 Sistema Operativo 7 SNMP 14, 80 Manuale di LANguard Network Security Scanner Risoluzione dei problemi • 99