La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa

Presentazioni simili


Presentazione sul tema: "Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa"— Transcript della presentazione:

1 Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa
STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa BOLLETTINO DI SICUREZZA INFORMATICA N° 1 GIUGNO 2002

2 INDICE SISTEMI OPERATIVI SISTEMI APPLICATIVI SICUREZZA DELLA RETE
Windows nt/2000 : migliorare la sicurezza PROBLEMI (E SOLUZIONI) DI WINDOWS XP SISTEMI APPLICATIVI 2 exploit per internet explorer SICUREZZA DELLA RETE INDICE Password policy Consigli pratici sulla sicurezza nella rete locale L’importanza di avere un IDS…….. PER CONTATTI: TEL. 06/ FAX.06/

3 WINDOWS NT/2000 : MIGLIORARE LA SICUREZZA
L'utilizzo di un antivirus rappresenta sicuramente un primo passo decisivo per rafforzare la sicurezza di un sistema informatico, ma in alcuni casi può non essere del tutto sufficiente. Per questo motivo diventa opportuno affiancare ad un prodotto di questo tipo, altri strumenti complementari. Dal momento che stiamo parlando di codice nocivo è bene sottolineare che in un sistema operativo Windows, tre sono le componenti a più alto rischio che occorre tenere sotto controllo: il file system, il registro di configurazione ed i processi. Per quanto riguarda il primo aspetto la misura precauzionale più efficiente consiste nel creare ad intervalli regolari una lista di directory e di file da confrontare con elenchi generati precedentemente e memorizzati su supporti removibili conservati in luoghi sicuri. A tal proposito nei sistemi Windows NT/2000 è assolutamente necessario usare strumenti in grado di individuare la presenza nei file dei flussi di dati alternativi (ADS o Alternate Data Streaming) Il file system NTFS presenta infatti una interessante funzionalità, che permette di aggiungere ad un file esistente degli ulteriori flussi, cioè dei dati di qualsiasi genere, senza per questo modificare gli attributi ed il contenuto originario del file stesso: per esempio se ad un file di testo viene aggiunto, sotto forma di ADS, un eseguibile contenente un cavallo di troia il file di testo continuerà ad essere visualizzato correttamente ma, purtroppo, il cavallo di troia potrà essere eseguito dall'interno dello stesso file, rimanendo completamente nascosto, a meno che non vengano utilizzati per l'appunto strumenti specifici. Un altro rimedio che aiuta nella identificazione di attività sospette aventi per oggetto il file system, può inoltre consistere nell'abilitazione delle attività di auditing (Windows NT/2000) e/o nell'utilizzo di altre applicazioni dirette a garantire l'integrità dei file. L'adozione di questi accorgimenti vale per tutti i sistemi, compresi quelli Windows 2000, anche se questi ultimi mettono a disposizione un nuova funzionalità chiamata WFP (Windows File Protection) che dovrebbe garantire un certo livello di protezione dei file di sistema da possibili operazioni di modifica e manomissione ma che ha evidenziato in alcune ipotesi dei comportamenti anomali. Anche il registro di configurazione di Windows necessita di un controllo continuo poichè esso rappresenta purtroppo uno dei punti deboli più critici sotto il profilo della sicurezza. Nel caso specifico l'attività di monitoraggio deve riguardare soprattutto una serie di chiavi e cioè: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx; utilizzate per memorizzare informazioni relative ad applicazioni che devono essere avviate in modo automatico durante il boot del sistema (per gli stessi motivi occorre anche verificare periodicamente il contenuto della cartella Esecuzione Automatica nonchè i file win.ini e system.ini).Infine un’altra misura cautelare è data dal monitoraggio dei processi attivi, che dovrebbe essere compiuto possibilmente con strumenti in grado di identificare per ogni processo, anche l'eventuale porta TCP/UDP utilizzata. Pagina.1

4 PROBLEMI (E SOLUZIONI) DI WINDOWS XP
Masterizzazione CD Può accadere che i CD che vengono scritti tramite Windows XP risultino illegibili oppure che manchino dei file quando vengono utilizzati sui riproduttori di MP3. Scaricare la patch dal sito windowsupdate.microsoft.com. Outlook Express Durante la fase di importazione dei dati da una precedente versione vengono perse delle informazioni e sono cambiate alcune impostazioni degli account già presenti. Sicurezza in Internet Explorer All’interno di Internet Explorer 6 sono stati scoperte diverse vulnerabilità. Scaricare la patch dal sito: Spegnimento Durante la fase spegnimento può avvenire un blocco del computer. Supporto Java Internet Explorer 6 non consente l’esecuzione di determinati applet Java. Scaricare la patch dal sito Windows Messenger Qualche disturbo all’audio. Problemi con la chat voce e video. Scaricare dal sito la nuova versione di Messenger Sicurezza in Windows XP Il servizio Universal Plug and Play,attivo per default nel sistema operativo, consente di accedere al computer dll’esterno quando collegati in Internet. Scaricare la patch dal sito : Windowsupdate.microsoft.com oppure dal sito Pagina.2

5 2 Exploit per…. In questa sezione, quando sarà possibile, verranno indicati eventuali bug dei più conosciuti sistemi applicativi, indicando, se disponibili, patch dei produttori e come trovarli in Rete. In questo bollettino vienen presentata una lista di buchi di Internet Explorer con relative correzioni, sempre scaricabili eclusivamente (per il momento) via Internet. Il problema più importante per quanto riguarda i bug, consiste nel troppo tempo che intercorre tra la scoperta dell’exploit e la pubblicazione delle patch sui siti appositi delle case produttrici. Per chi preferisce scaricare singolarmente i file, la descrizione e la localizzazione della patch cumulativa denominata 28 marzo 2002 sono disponibili all’indirizzo: Il file da circa 2,4 MB denominato Q EXE e mantiene lo stesso nome pur essendo disponibile in versioni differenti per Internet Explorer 6 e Internet Explorer 5.5 Service Pack 1 e 2. Il sito da visitare per essere sempre aggiornati sui problemi di sicurezza dei prodotti Microsoft è : sezione SECURITY. Il rilascio di una patch cumulativa da parte di Microsoft è invece una buona idea, perché elimina la necessità di cercare ed installare tutte le patch singole ormai rilasciate con cadenza quasi settimanale. La patch cumulativa garantisce un miglior controllo di compatibilità da parte di Microsoft: all’utente basta controllare nella finestra ?/INFORMAZIONI SU INTERNET EXPLORER la serie di patch da installare. Il primo dei due buchi sistemati nella patch cumulativa del 28 marzo, riguarda la possibilità di eseguire una script inserita in un innocuo cookie dove, invece di essere gestita con un livello di sicurezza usato da siti web, potrebbe girare indisturbata come se fosse un file locale. Anche il secondo bug permette ad un sito remoto di lanciare codice eseguibile presente sul pc dell’utente, utilizzando una pagina HTML scritta in modo particolare. Riassumendo, la sicurezza di Internet Explorer resta un concetto molto vago e raggiungibile nella pratica aprendo la finestra delle impostazioni di protezione e disattivando tutte le opzioni contenenti la voce ACTIVE nella propria descrizione, cioè script e oggetti activeX. Si consiglia di visitare la pagina: max/-xp_rules.jpg, che è un sosfisticato aiuto, per riavviare un pc dotato di Windows XP (attenzione: qualunque programma aperto perderebbe i dati) a cui non sono state applicate le patch prima descritte. Anche la tecnologia Java, generalmente più sicura di quella activeX, deve registrare i suoi bug , l’ultimo dei quali è classificato critico su Windows Update e richiederebbe l’aggiornamento della Java Virtual Machine, non più collegata a Internet Explorer dalla versione 6. Date le sue dimensioni meglio passare alla JVM Sun, disponibile gratuitamente. Pagina.3

6 - Tempo massimo di vita della password : 90 giorni
PASSWORD POLICY La “password policy” consiste nell’impostazione di una serie di una password idonee a resistere ai vari tentativi di intrusione da parte di client indesiderati, oppure da parte di sniffer che esistono in commercio, i quali hanno la facoltà di “cracckare” una password in tempi limitatamente brevi, se la password scelta è una parola sotto i 6 caratteri, oppure una parola di senso compiuto. Ogni amministratore di sistema per eliminare questa vulnerabilità deve assicurarsi che le password scelte, devono essere comunque un insieme di lettere numeri e segni speciali. Se si scelgono password “complicate” sarà probabilmente difficile ricordarle puntualmente quando vengono richieste, ma comunque implicano una maggiore sicurezza, e rendono difficile gli attacchi da parte dei tools in commercio. SECAN, ente della NATO che valuta i sistemi suggerisce, che la policy sia impostata secondo la seguente tabella: - Tempo massimo di vita della password : 90 giorni - Tempo minimo di vita della password : 1 giorno - Lunghezza minima della password : caratteri - Lunghezza massima della password : caratteri Di seguito si riportano alcune politiche generali relative alle password, da applicare per l’uso di Internet : le password e l’identificazione (ID) dell’utente nella domanda di collegamento, dovranno essere uniche per ciascun utente autorizzato; le password dovranno essere composte da un minimo di 12 caratteri alfanumerici (nessuna frase o nome comune). Dovrebbero esserci elenchi controllati dal computer di norme relative alle password bandite e si dovrebbe effettuare un controllo periodico (tramite i tools in commercio) per identificare qualsiasi debolezza della password; le password dovranno essere mantenute private, cioè, non condivise, codificate in programmi o annotate; le password dovranno essere cambiate almeno ogni 90 giorni. La maggior parte dei sistemi può far rispettare il cambio di password con una scadenza automatica, impedendo la ripetizione o il reimpiego di password già usate in precedenza; l’accesso dell’utente dovrà essere bloccato dopo 3 tentativi falliti di collegamento. Tutte le entrate errate di password dovranno essere registrate in una lista di verifica per una successiva ispezione ed azione secondo le esigenze; - le sessioni dovranno essere sospese entro 15 minuti di inattività e si dovrà reintrodurre la password per la riconnessione. Pagina.4

7 LA SICUREZZA SULLA RETE LOCALE
In questa sezione si riportano una serie di consigli pratici per migliorare la sicurezza della vostra LAN, in , ove è possibile, la rete Ethernet utilizzando apparecchiature come gli Switch al posto degli Hub (ove è possibile): si riscontreranno dei significativi vantaggi sia in termini di prestazioni (assenza di collisioni; canali non condivisi), sia di sicurezza (resistenza allo sniffing); considerare la possibilità di disattivare l’utilizzo del protocollo Snmp ove non strettamente necessario. Ove non sia possibile evitare di utilizzare questo protocollo, cambiare nome agli identificativi predefiniti di comunità e rendere accessibili in sola lettura i Mib (Snmp Management Information Base); considerare la necessità di installare nei punti chiave della rete software capace di identificare quali interfacce di rete siano utilizzate in modalità promiscua, segno tipico dell’attività di software di sniffing IMPOSTAZIONI LOCALI Disabilitare eventuali driver per interfacce di rete non utilizzate: usare a questo scopo l’applet Devices del pannello di controllo di Windows NT. Evitare inoltre di effettuare il binding alle interfacce di rete per tutti i protocolli che non si intende utilizzare: selezionare il menù Properties di Netword neighborhood e accedere al folder Bindings. IMPOSTAZIONI LOCALI E DI DOMINIO Cambiare nome all’account Administrator usando il tool User Manager (Start/Programs/Administrative Tools) (Common)/User Manager); selezionare l’utente Administrator, poi la voce Rename dal menù User; controllare i diritti di accesso ai sistemi usando il tool User Manager sulle workstation. (Start/Programs/Administratives Tools (Common)/User Manager) e User Manager forDomains sui controller di dominio e sui server standalone (Start/Programs/Administrative Tools (Common)/User Manager for Domain. Selezionare la voce User rights dal menù Policies. Eliminare ogni accenno al gruppo Everyone: sostituirlo con il gruppo, ad esempio, Network Users che dovrà contenere tutti gli utenti abilitati al browsing della rete. Si presti inoltre particolare attenzione agli utenti abilitati ad effettuare il login alla console locale (Log on locally): sui server e sui controller gli utenti regolari non dovrebbero godere di questo privilegio. Si eviti di dare diritti Backup files and directories, Manage auditing and security logs e take ownership or other object ad altri utenti che non siano gli amministratori. Pagina.5

8 IMPOSTAZIONI DI DOMINIO
Creare due account per gli utenti che hanno compiti di amministrazione: uno privo di ogni privilegio, utilizzato per il lavoro di routine; l’altro dedicato esclusivamente a svolgere i compiti di amministratore che verrà utilizzato solo se strettamente necessario; utilizzare il tool syskey.exe disponibile per Windows NT a partire dal Service Pack 2 per cifrare il Sam (database degli account) e proteggerlo con una password. Selezionare la voce Run dal menù Start di Windows NT; digitare syskey; attendere la comparsa della finestra, poi selezionate Encryption Enabled. Per proteggere il database con una password, premere su Update e quindi selezionare System Generated Password. Si potrà salvare la chiave d’avvio sul sistema locale oppure su un floppy disk. Si noti che per impostazione predefinita in Windows 2000 il database risulta già cifrato; valutare l’opportunità di rafforzare la complessità delle password, abilitando sul controller primario di dominio l’uso della libreria passfilt.dll. Verranno così rifiutate le password di lunghezza inferiore ai 6 caratteri e che non soddisfino almeno tre dei seguenti quattro requisiti: la password deve contenere caratteri alfabetici minuscoli, maiuscoli, caratteri numerici e caratteri non alfanumerici (come ad esempio segni di punteggiatura). Si noti che il filtro per controllare la robustezza delle password agisce solo sulle richieste di cambiamento, che giungono dalla rete e non sugli accessi diretti al Sam effettuati dall’amministratore con il tool User Manager for Domain.Per abilitre l’uso della libreria passfilt.dll occorre installare il Service Pack 3 o successivi, lanciare il Registry Editor di Windows NT selezionando la voce Run dal menù Start e digitando regedt32; individuare la chiave HKEY_LOCAL_MACHINE|SYSTEM|Current-ControlSet\Control\lsa; selezionare la voce Add value dal menù Edit per inserire, qualora non fosse già presente, il valore Notification packages di tipo REG_MULTI_SZ; effettuare un doppio click sulla chiave Notification Packages e aggiungervi il valore PASSFILT. Premere OK e uscire dal Registry Editor. Riavviare il sistema per rendere effettive le modifiche. Pagina.6

9 L’IMPORTANZA DI AVERE UN IDS E DI SETTARE CORRETTAMENTE I ROUTER INTERFACES
Una rete di computer richiede un appropriato livello di protezione. Un IDS (intrusion detection system) assume, nell’ambito della protezione della rete un importante ruolo complementare al firewall. L’IDS controlla il traffico da e per la rete già controllato dalle impostazioni dal firewall, per determinare se la rete ha subito un attacco da parte di un computer remoto o dall’interno della rete stessa. Se l’IDS trova traccia di un attacco, allerta, in qualche modo, l’amministratore di sistema, che può determinare i passi da fare per la risposta alla minaccia (per esempio implementare le regole della programmazione del firewall). Senza un IDS la rete è suscettibile di sofisticati metodi per la ricerca di informazioni da parte degli hacker e attacchi da parte di questi ultimi, con conseguente aumento della vulnerabilità di accesso alle informazioni all’interno della rete. In molte delle reti una vulnerabilità comune è riscontrabile nel router che permette l’accesso a più servizi di quelli necessari,come a più hosts di quanto ne servano realmente. Un primo passo è quello di considerare attentamente quali sono i servizi ammessi a transitare (in ingresso e in uscita) attraverso il router, se è possibile creare una linea di condotta per individuare i servizi ammessi e quelli proibiti. Di seguito viene riportato uno schema formato da 2 tabelle: la prima tabella elenca i servizi che devono essere completamente bloccati dal router, il loro transito deve essere vietato in entrambe le direzioni. La seconda tabella vede invece quei servizi sulla rete protetta che non devono essere accessibili dagli “external clients”. In generale l’amministratore di sistema dovrebbe creare filtri su quei servizi e su gli host che hanno particolari permessi, negando l’accesso ad ogni altra cosa. L’adozione di questa configurazione da parte dell’amministratore di sistema, implica di non dover ogni volta modificare i servizi permessi/negati sul router. Pagina.7


Scaricare ppt "Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa"

Presentazioni simili


Annunci Google