AUDITING DEI SISTEMI DI POSTA ELETTRONICA Prima fase: definizione della procedura, politiche di sicurezza Workshop 11-15 maggio 2009 Ombretta Pinazza, per il gruppo di lavoro Mailing Fulvia Costa, Francesco Ferrera, Diego Leanza, Alessia Spitaleri

Traccia della presentazione Descrizione del progetto Verso una procedura di auditing Punto di partenza Metodologia Primi risultati Stato del servizio Feedback dalle sedi Conclusioni Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009 Auditing Controllo di un sistema, effettuato in modo tale da permettere di confrontare le attività svolte sul sistema analizzato con le politiche e le procedure stabilite al fine di determinare la loro conformità, suggerendo eventualmente l'opportunità di introdurre delle migliorie Politiche Verifiche Confronto Migliorie Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009 Fasi dell’Auditing Il processo di auditing di un sistema informatico deve essere sistematico e documentato; generalmente si compone dei seguenti passi: Analisi dei rischi Definizione degli obiettivi Pianificazione Raccolta evidenze Conclusioni e raccomandazioni Rapporto di Audit Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Descrizione del progetto Obiettivo Capire meglio le politiche comuni Contribuire al progetto auditing@sicurezza Risultati Istantanea dei servizi di posta esistenti Identificati e risolti problemi di configurazione e di sicurezza Punto di partenza per la definizione di politiche comuni Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Procedura/Metodologia Individuazione dei nodi di nostro interesse scan Nmap delle reti assegnate ad ogni sede Interrogazione MX sui DNS Analisi dei servizi rilevati Script tcl generano una connessione al nodo e memorizzano ogni passaggio della connessione Script perl aprono una connessione in ssl o con starttls SMTP, SMTP/SSL, STARTTLS, SMTP AUTH POP, POPS, IMAP, IMAPS Altri servizi (HTTP, HTTPS, LDAP) Report modulari sul web/afs suddivisi per sedi Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009 Evoluzione Procedura sistematica Ridefinizione dell’insieme di nodi da controllare Generazione di report automatici Prossima versione SW Integrazione dei diversi script Approfondimento dell’analisi di alcuni servizi Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009 Risultati 1 Confronto con gli anni precedenti Censimento 2007 Censimento 2008 Scan 2009 Numero di nodi 71 80 150 Media per sede 2.7 3.1 4.4 Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009 Risultati 2 Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Vulnerabili o malconfigurati Risultati 3 34 Sedi INFN 150 Nodi in totale 22 (64%) SMTP AUTH 55 MX ufficiali 11 (32%) SMTP/SSL su 465 77 Servizi SMTP Vulnerabili o malconfigurati 14 (41%) 35 (23%) 7 (21%) 10 (7%) 13 (38%) 4 (3%) Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009 Conclusioni Feedback buono: almeno 25 sedi (il 74%) hanno guardato il proprio report molti hanno segnalato errori altri sono subito intervenuti sul proprio sistema è una base di partenza per la procedura di auditing dei sistemi di posta Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Ringraziamenti, domande e discussione Grazie a Fulvia Costa, Franco Ferrera, Diego Leanza e Alessia Spitaleri Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009

Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009 Discussione Spunti per la discussione Reti assegnate: mix fra domini INFN, CNR, Dipartimenti, … Politiche comuni per SMTP AUTH? Controllo porta 25 in/out Archiviazione dati auditing e visibilità Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009