Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/2 Site Security Handbook RFC 2196 – Sept Guida alla definizione di policy e procedure di sicurezza per siti connessi a Internet. Si rivolge agli amministratori della rete, dei sistemi e dei servizi, non agli sviluppatori di programmi o di sistemi operativi.
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/3 Site Security Handbook Definizione di SITO Organizzazione che possieda computer o altre risorse di rete usate da utenti e che possano accedere a Internet.
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/4 Site Security Handbook Altre definizioni: Internet – Cfr. FYI4, RFC Administrator – responsabile del funzionamento quotidiano dei sistemi e delle reti Security administrator – responsabile della sicurezza delle informazioni o dei sistemi informatici
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/5 Site Security Handbook Passi fondamentali nel processo di sicurezza: Identificazione interna Identificazione esterna Valutazione dei rischi Realizzazione delle misure Miglioramento continuo
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/6 Site Security Handbook 1 - Analisi dei rischi Osservazione fondamentale: la ragione principale per cui si ha bisogno di una buona security policy è assicurarsi che ciò che si spende per la sicurezza produca benefici economicamente giustificabili Che cosa abbiamo bisogno di proteggere? Da chi è necessario proteggere che cosa? Come realizziamo le protezioni?
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/7 Site Security Handbook 1 - Analisi dei rischi Identificazione delle entità da proteggere Hardware, Software, Dati, Persone, Documentazione, Forniture varie Identificazione dei pericoli Per ogni entità si identificano problemi associati. Tipicamente: Accesso non autorizzato a informazioni Diffusione imprevista o non autorizzata di informazioni Interruzione di servizio
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/8 Site Security Handbook 2 - Politiche di sicurezza Una security policy è una guida per prendere decisioni Mediante la dettagliata esposizione di precisi obiettivi relativi alla sicurezza, consente di utilizzare al meglio gli strumenti (informatici e non) a disposizione per l’analisi e il controllo delle risorse e la realizzazione di misure e contromisure di sicurezza. Attenzione alle security policies fornite, per default, dagli strumenti informatici e assunte dagli utenti
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/9 Site Security Handbook 2 - Politiche di sicurezza Dovendo definire politiche di sicurezza, ci si scontra solitamente con la necessità di scegliere nell’ambito dei seguenti compromessi Servizi / sicurezza Facilità d’uso / sicurezza Controllo dei costi / rischi
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/10 Site Security Handbook 2 - Politiche di sicurezza “A security policy is a formal statement of the rules by which people who are given access to an organization’s technology and information assets must abide.” I destinatari sono: gli utenti, i responsabili, il management. Devono essere coinvolti: l’amministratore della sicurezza, staff tecnico IT/EDP, coordinatori di gruppi di utenti, il “security incident response team”, rappresentazne degli utenti, management, ufficio legale
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/11 Site Security Handbook 2 - Politiche di sicurezza Alcune caratteristiche Deve essere realizzabile Deve poter essere imposta Deve distinguere le responsabilità Deve essere flessibile
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/12 Site Security Handbook 2 - Politiche di sicurezza Alcuni elementi chiave Linee guida per l’acquisto di sistemi e software Privacy Accesso ai sistemi Autenticazione Disponibilità delle risorse Manutenzione di reti e sistemi Segnalazione di violazioni Documentazione di supporto
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/13 Site Security Handbook 3 - Applicazioni Definire un piano di sicurezza completo (framework). Se le politiche di sicurezza non sono stabilite all’interno di un piano generale, che tiene conto dell’intera organizzazione, esse possono fallire. Occorre definire una lista dei servizi disponibili, stabilire chi avrà accesso ad essi, come avviene l’accesso, chi amministra i servizi. Occorre anche stabilire come classificare e gestire i possibili incidenti.
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/14 Site Security Handbook 3 - Applicazioni Occorre separare i servizi? Le modalità di realizzazione dei servizi influenzano la sicurezza: in generale i diversi servizi che occorre fornire hanno modelli di accesso (autenticazione, autorizzazione) e di fiducia (accessibilità, controllo) diversi. Servizi con differenti modelli di accesso e fiducia vanno realizzati con sistemi separati. Servizi critici per sicurezza Servizi critici per disponibilità Servizi critici per accessibilità Servizi critici per funzionalità
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/15 Site Security Handbook 3 - Applicazioni Un po’ di filosofia… Vi sono due punti di vista diametralmente opposti per prendere le decisioni che permettono di comporre un piano per la sicurezza completo. Approccio del “permettere tutto” Approccio del “negare tutto” Di volta in volta occorre scegliere quello più opportuno per il componente del piano o il settore del sito che si sta realizzando. Il primo approccio richiede poco sforzo e tempo; il secondo più lavoro e conoscenza, ma è più sicuro del primo.
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/16 Site Security Handbook 3 - Applicazioni Un po’ di filosofia… Ciascun modello (“permettere tutto” o “negare tutto”) può essere adottato a parti differenti del sito, a seconda dei requisiti di funzionalità, accessibilità, disponibilità, controllabilità ecc. e alle politiche (di sicurezza e non). Come esempio comunemente usato, “permettere tutto” si applicare sempre ai computer standard degli utenti, mentre “negare tutto” è opportuno per i server. Attenzione, in questo mix, a non creare dei “biscotti ripieni”, ossia delle strutture molto rigide e controllate in periferia e molto rilassate e libere all’interno. Per motivi economici questo approccio è assai diffuso, ma è rischioso non avere alcuna difesa interna una volta che il perimetro è stato violato…
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/17 Site Security Handbook 3 - Applicazioni Identificare i veri bisogni I servizi informatici, sia interni che esterni, rispondono in vari modi alle numerose necessità degli utenti. Gestire i servizi in sicurezza significa il più delle volte gestire l’accesso ai servizi interni e gestire come gli utenti possano accedere a sistemi esterni al sito. Analizzare di volta in volta le richieste di accesso a nuovi servizi, interni o esterni, è costoso e realizzarle sempre e comunque fa crescere a dismisura le complessità di gestione e diminuire la la sicurezza complessiva del sito. Concentrarsi sul minimo dei servizi che forniscono il massimo delle necessità
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/18 Site Security Handbook 3 - Applicazioni Protezione della rete e dei servizi Sono descritte alcune classiche vulnerabilità delle reti e dei computer, come denial of service con flood attacks e lo spoofing. Si accenna alle debolezze e alla protezione dei principali servizi di rete: DNS, NIS(+), Kerberos, Proxy servers, Electronic Mail, World Wide Web, File Transfer, File Sharing. Protezione dei firewalls (sembra ovvio, ma…)
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/19 Site Security Handbook 3 - Applicazioni Firewalls Non sono la panacea di tutti i problemi di sicurezza, anche se ne hanno la reputazione. Sono uno dei tanti strumenti a disposizione; permettono di realizzare security policy a livello rete, controllandone l’accesso. Combinazione di Filtering routers e proxy servers. Importanza del logging, centralizzazione e memorizzazione. Caratteristiche e costi.
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/20 Site Security Handbook 4 – Servizi e Procedure Autenticazione Meccanismo generale per l’identificazione degli utenti nei sistemi isolati e nei sistemi in rete. Username + reusable passwords. Tradizionalmente in uso da sempre, anche se sono preferibili altri meccanismi: One-time passwords Kerberos Tokens User e password si continuano ad usare Password assurance policy! Password robuste, no default, protette, scadenza, blocco.
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/21 Site Security Handbook 4 – Servizi e Procedure Accesso L'accesso fisico ai sistemi deve essere controllato, permettendone l'accesso solamente alle persone autorizzate. Walk-up network connection. Gestione dei modem e delle linee telefoniche. Occorre un'autenticazione sia in ingresso che in uscita. Call-back. Tutti i login devono essere registrati nei log. Banners. Cenni alle procedure di auditing. Cosa raccogliere e cosa non. Valore legale.
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/22 Site Security Handbook 4 – Servizi e Procedure Backup Il sito deve creare copie di backup Occorre tenere copie off-site, valutando la sicurezza e la disponibilità del posto scelto (disaster recovery) Backup crittografati. Attenzione alla gestione delle chiavi e del software Non assumere che i backup siano validi Procedure di verifica periodica
Tecnologie di Sicurezza in Internet: applicazioni – AA – A10/23 Site Security Handbook 5 – 9 Altri contenuti Gestione dell'incidente Attività da fare di continuo Mailing lists e risorse Riferimenti