WEB SECURITY
Enrico Branca
[email protected]
WEBB.IT 03
Di cosa si dovrebbe parlare
Partendo dalle problematiche di sicurezza relative ai client
verranno evidenziati i piu' comuni errori di configurazione e i
loro effetti sulla rete, sia essa una Lan aziendale o internet
stessa.
Si cerchera' quindi di sfatare alcuni luoghi comuni e di fare
chiarezza sul significato di alcune parole troppo spesso usate in
modo errato, arrivando a parlare dei server presenti su internet e
delle problematiche relative alla protezione dei dati riservati
degli utenti ed alla fornitura di alcuni tipi di servizi.
L'intervento si concludera' con l'analisi di alcuni test effettuati
attraverso internet.
PASSWORDS ( 1 )
Creazione delle password
• 7 o più caratteri
• lettere MAIUSCOLE, minuscole e numeri
• Periodo di validità di 30 giorni
PASSWORDS ( 2 )
Uso delle password
•
•
•
•
•
Accesso a risorse riservate via LAN
Accesso a risorse riservate via WEB
Accesso ai Client
Accesso ai Server
Ecc..
PASSWORDS ( 3 )
Gestione delle password
•
•
•
•
•
•
Salvate su disco
Conservate all’interno del sistema operativo
Registrate all’interno di programmi appositi
Conservate su sistemi remoti
Registrate all’interno di database
Ecc..
PASSWORDS ( 4 )
Gestione delle password
• Salvate su disco - RITROVABILI
• Conservate all’interno del sistema operativo RITROVABILI
• Registrate all’interno di programmi appositi ESTRAIBILI
• Conservate su sistemi remoti - INTERCETTABILI
• Registrate all’interno di database - ESTRAIBILI
• Ecc.
ANTIVIRUS ( 1 )
• Motori di scansione
• Porte utilizzate
• Gestione degli aggiornamenti
• Gestione dell’antivirus
ANTIVIRUS ( 2 )
• Azioni in caso di VIRUS
• Azioni in caso di TROIANO
• Azioni in caso di MALWARE
• È realmente utile ?
CONDIVISIONE RISORSE ( 1 )
• Utilizzo di NETBIOS
• Utilizzo di SAMBA
• Utilizzo di NFS
• Utilizzo di DFS
CONDIVISIONE RISORSE ( 2 )
• Che protocolli si usano ?
• Come avviene l’autenticazione ?
• Si usano diversi sistemi operativi ?
• Come vengono integrati i sistemi ?
• La sicurezza viene considerata ?
INSTALLAZIONI ( 1 )
• L’installazione viene preventivamente studiata o si
effettua quella standard?
• Il sistema viene testato e controllato ?
• Il sistema viene aggiornato e manutenuto
correttamente?
INSTALLAZIONI ( 2 )
• Le applicazioni in che modo vengono installate ?
• Si esegue un controllo dell’impatto delle
applicazioni sul sistema ?
• Che influenza hanno sulla sicurezza ?
CONFIGURAZIONI ( 1 )
• Chi si preoccupa di fare il TUNING dei sistemi ?
• Come sono configurati i CLIENT ?
• Come sono configurati i SERVER ?
• Come e’ configurata la RETE ?
CONFIGURAZIONI ( 2 )
• È stata realizzata una CHECK – LIST ?
• Viene mantenuta aggiornata?
• Le configurazioni vengono testate in laboratorio
prima di essere applicate sulle macchine in
produzione ?
CRITTOGRAFIA ( 1 )
• A cosa serve la crittografia ?
• Chiave pubblica, chiave privata o password ?
• Come avviene lo scambio delle chiavi ?
• Crittografia su file, su rete, sul file system, o sulla
memoria ?
CRITTOGRAFIA ( 2 )
• Si parla di crittografia o decodifica ?
• A chi e a che cosa serve crittografia ?
• Come viene implementato il sistema di crittografia ?
SERVIZI FORNITI ( 1 )
• Quali servizi vengono erogati ?
• Quali sono le macchine adibite a server ?
• Quali ruoli hanno e che relazioni ci sono con la rete
interna?
SERVIZI FORNITI ( 2 )
• Viene fatto l’auditing dei sistemi accessibili
attraverso la rete ?
• Viene testata la sicurezza delle macchine che
forniscono servizi ?
• In caso di blocco del servizio come si opera?
SERVER E RUOLI
• Ogni macchina ha una posizione ben specifica
all’interno della rete aziendale !
• I sistemi vanno progettati prima di essere installati !
• La rete che ospita le macchine DEVE essere
progettata prima di collegare le macchine !
• PIANIFICAZIONE !
FIREWALL ( 1 )
• Serve a filtrare le connessioni ma non solo
• Serve a gestire gli accessi alla rete ma non solo
• DEVE ESSERE MANUTENUTO
• DEVE ESSERE CONTROLLATO
FIREWALL ( 2 )
• Avere un firewall non significa essere protetti
• Se non si segue la regola del “DEFAULT DENY” il
firewall è inutile
• I firewall non bloccano tutti gli attacchi ma aiutano
ad evitarli
LETTURE CONSIGLIATE
•
•
•
•
SICUREZZA DIGITALE
Miti da sfatare, strategie da adottare
Bruce Schneier
Tecniche Nuove
•
•
•
•
Web Security, Privacy & e-Commerce
Sicurezza per utenti, amministratori e ISP
S. Garfinkel con G. Spafford
Hops Libri
•
•
•
•
Server Linux Sicuri
Strumenti e best practice per allestire host inviolabili
Michael D. Bauer
Hops Libri
RIFERIMENTI UTILI
•
GFI Languard Network Security Scanner
•
www.gfisoftware.com/lannetscan/
•
Foundstone Superscan v3.0
•
www.foundstone.com/resources/freetools.htm
•
@stake LC4
•
www.atstake.com/research/lc/
RIFERIMENTI UTILI
• eEye Retina Security Scanner 4.9x
• www.eeye.com/html/Products/Retina/index.html
• nmapwin 1.3.1
• www.nmapwin.org/
• Firewalk
• www.packetfactory.net/firewalk/
RIFERIMENTI UTILI
• SANS Institute
• www.sans.org/
• CERT® Coordination Center
• www.cert.org/
• SecurityFocus
• www.securityfocus.com/