La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Auditing di sicurezza Report 2011 O. Pinazza per il gruppo Auditing CCR-INFN Tutorial Sicurezza CCR, LNF 15 febbraio 2012 1.

Presentazioni simili


Presentazione sul tema: "Auditing di sicurezza Report 2011 O. Pinazza per il gruppo Auditing CCR-INFN Tutorial Sicurezza CCR, LNF 15 febbraio 2012 1."— Transcript della presentazione:

1 Auditing di sicurezza Report 2011 O. Pinazza per il gruppo Auditing CCR-INFN Tutorial Sicurezza CCR, LNF 15 febbraio 2012 1

2 Il mandato del gruppo auditing Il gruppo di Auditing INFN si occupa esclusivamente di sicurezza informatica e nasce in attuazione a quanto stabilito dalla direttiva del 16/1/2002, pubblicata nella Gazzetta Ufficiale n. 69 del 22 marzo 2002, recante raccomandazioni per la “Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni” e recepita dall’Ente con l’adozione della Carta della Sicurezza Informatica (C.D. 23/2/2007) Le attività previste possono essere riassunte nei punti seguenti: raccolta di informazioni sull’organizzazione delle risorse informatiche; analisi dei rischi per individuare le priorità delle attività da svolgere; analisi delle politiche di sicurezza adottate; rilevazione dei servizi ritenuti “pericolosi”, esposti all’esterno delle varie reti locali; ricerca di vulnerabilità e verifica delle configurazioni dei server individuati nel punto precedente; verifica della configurazione delle apparecchiature di rete (router, switch, ecc.); emissione di raccomandazioni per ovviare alle vulnerabilità rilevate e verifica della loro applicazione stesura di rapporti periodici, destinati ai responsabili locali e alla Direzione dell’Ente. Controlli da remoto: scansioni continue con nmap (o equivalente) su tutte le macchine con indirizzi gestiti dall’Ente, inclusi switch e router, per la rilevazione di servizi accessibili dall’esterno delle reti locali; scansioni periodiche con nessus (o equivalente) sulle macchine individuate nel punto precedente alla ricerca di eventuali vulnerabilità: queste attività, a differenza delle precedenti, verranno preannunciate. Sarà cura del gruppo svolgere le attività di cui sopra, in particolare le scansioni alla ricerca di vulnerabilità, nel modo meno invasivo possibile e con un ampio preavviso. E’ chiaro, però, che si tratta di azioni inerentemente intrusive e che quindi potranno provocare interruzioni dei servizi in esame, crash di macchine e altri malfunzionamenti, di cui il gruppo non potrà essere ritenuto responsabile. Sarà ovviamente sempre possibile, su richiesta del responsabile, escludere macchine particolarmente critiche. Dopo ogni ciclo di verifiche, le segnalazioni delle nuove vulnerabilità rilevate saranno rese disponibili, in modo che i responsabili indicati delle varie Strutture possano prendere le opportune contromisure. Il gruppo produrrà inoltre un rapporto, almeno annuale, delle sue attività e dei suggerimenti da presentare alla Direzione dell’Ente. 2 http://web.infn.it/CCR/index.php/sicurezza-informatica

3 Attività 2011: scansioni ed altri servizi Scansioni Nmap quasi continue Scansioni delle vulnerabilità Nessus periodiche Le scansioni sono attive lun-ven 9-18, escluso agosto/festivi Scansioni fai-da-te tramite il sito https://www.bo.infn.it/calcolo/INFN/audit/Report/Norad.php Monitoraggio dell’aggiornamento di sistemi operativi (Windows e Linux) Google alert e Shadow server (GARR) Startup per l’auditing del sistema informativo (ora indipendente) Redazione di Rapporti periodici sullo stato della sicurezza informatica nell’INFN 3

4 Il report – 1a edizione 4

5 Commento ai risultati del 2010 Presenti molti server vulnerabili Raccomandazioni: Aggiornamento di sistemi operativi e di sw Utilizzo di regole di firewall per proteggere servizi critici e limitare il numero di server esposti Separazione dei servizi critici su nodi dedicati Si segnalavano: Problemi di coesistenza con reti universitarie Assenza di referenti in alcuni gruppi collegati 5

6 2011: Scansioni automatiche Nmap Port scanner OS e version scanner Una scansione nmap parte automaticamente quando la precedente si conclude Nessus Vulnerability scanner le scansioni nessus sono annunciate, sono interrotte durante il weekend e i risultati sono disponibili ai responsabili su audiweb.infn.it lista delle reti INFN lista delle reti escluse lista degli host esclusi d_scan audit_code scan type scan date target type command_line 72 ROBOT nmap 2012-02-02 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 71 scada nmap 2012-01-30 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p T:1527,2527,512,2505,4999 69 ROBOT nmap 2012-01-24 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 68 ROBOT nmap 2012-01-12 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 64 ROBOT nmap 2011-10-28 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 63 ROBOT nmap 2011-10-19 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 62 igi-01.pd.infn.it nessus 2011-10-13 host /opt/nessus/bin/nessus -c /home/nessus/bin/.nessusrc.LAST -Tnessus -q 61 ROBOT nmap 2011-10-07 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 67 ROBOT nessus 2011-10-01 host /opt/nessus/bin/nessus -c /home/nessus/bin/.nessusrc.LAST -Tnessus -q 60 ROBOT nmap 2011-09-28 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 59 ROBOT nmap 2011-09-16 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 58 ROBOT nmap 2011-09-06 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 57 ROBOT nmap 2011-08-26 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 56 ROBOT nmap 2011-07-25 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 55 ROBOT nmap 2011-07-13 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 54 ROBOT nmap 2011-06-29 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 52 ROBOT nmap 2011-06-17 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 51 ROBOT nessus 2011-05-18 host /opt/nessus/bin/nessus -c /home/nessus/bin/.nessusrc.LAST -Tnessus -q 50 ROBOT nmap 2011-05-06 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 49 ROBOT nmap 2011-04-22 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 48 ROBOT nmap 2011-04-11 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,69,161,162,T:21,22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 47 ROBOT nmap 2011-04-06 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,T:22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 46 ROBOT nmap 2011-04-01 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,T:22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 45 ROBOT nmap 2011-03-29 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,T:22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081 44 ROBOT nmap 2011-03-25 net /usr/local/bin/nmap -d3 -v -PN -sV -sT -sU -T3 -p U:53,T:22,23,25,53,80,109,110,143,443,465,587,993,995,1080,1443,8000,8080,8081

7 Nessus Licenza pagata da CCR (1500 Euro/anno) Su richiesta INFN, SL è stato inserito fra le distribuzioni ufficiali (falso positivo plugin 33850) dall’ultima scansione, la INFN CA compare fra le trusted authorities (falso positivo plugin 51192) 7

8 Risultati delle scansioni 2011 Scansioni nmap host visibili host ufficiali e non porte aperte versioni Scansioni recenti una o due ogni mese ottobre 2011 Scansioni nessus analisi delle vulnerabilità Reportistica automatica Scansioni recenti Maggio 2011 Novembre 2011 8

9 Numero di nodi visibili dall’esterno Numero totale di nodi indirizzabili 189.854 Reti/nodi esclusi 131.859 Numero di nodi scansionati 57.995 Numero di nodi rilevati 4.116 Percentuale di esposizione 7% Esposizione delle sedi dal 0.7% al 30% (eccezione: Ferrara 97% - senza ACL o errata interpretazione della risposta dell’apparato firewall?) 9

10 Numero di nodi visibili dall’esterno 10 Sezione Numero massimo nodi indirizzabili Reti/nodi esclusi Nodi visibili dall'esterno % esposizione Aquila5086412.6 Bari152418812.3 Bologna17801231.3 Cagliari10161676.6 Catania673166553421812.2 CNAF9288510700.8 Cosenza2541218.3 Ferrara50849797.8 Firenze7623385.0 Genova20461899.2 Lecce764506.5 LNF3830330.9 LNGS29201013.5 LNL1526825.4 LNS508336.5 Messina254249.4 Milano203633516.5 Milano Bicocca76416121.1 Napoli2032753.7 Padova2290160.7 Parma6604265538112.2 Pavia50815730.9 Perugia2544417.3 Pisa3064732.4 presid25441.6 Roma191441795210.4 Roma2204621310.4 Roma32544618.1 Salerno51091.8 Torino2034683.3 Trento508203.9 Trieste25482541707.4 Udine762648.4 TOTALE189854131859411610.9

11 Nodi visibili e servizi rilevati 11 SezioneNumero di hostServer webServer SSHServer SMTPserver DNS Aquila643150 6 3 Bari1889990 5 2 Bologna23116 4 2 Cagliari673418 5 4 Catania21815278 4 5 CNAF70487 5 8 Cosenza21812 2 1 Ferrara49740495 3 1 Firenze382712 2 2 Genova18910176 2 4 Lecce501014 2 3 LNF33182 4 2 LNGS1013365 2 3 LNL821171 2 2 LNS33138 3 2 Messina241314 0 1 Milano33548290 13 10 MilanoBicocca16137154 7 6 Napoli75217 2 3 Padova16112 2 3 Parma1157 1 1 Pavia15727112 4 4 Perugia442234 2 1 Pisa73763 1 3 presid420 1 2 Roma1952541525 7 16 Roma221315204 1 3 Roma346940 2 2 Salerno980 1 2 Torino681247 8 2 Trento20413 2 2 Trieste1706787 1 8 Udine642936 4 1 Totale411614232739 110 114

12 Vulnerabilità Numero di nodi rilevati 4.116 Numero nodi vulnerabili 1.536 Numero di vulnerabilità rilevate24.963 Vulnerabilità alte 517 Vulnerabilità medie 3.159 Vulnerabilità basse21.287 12

13 Vulnerabilit à Sezione Numero di nodi vulnerabili Numero di nodi con vulnerabilità alte Numero di vulnerabilità alte Numero di vulnerabilità medie Numero di vulnerabilità basse Aquila2462968649 Bari83121503161257 Bologna10118159 Cagliari221266505 Catania7712261601356 CNAF35410133798 Cosenza6002185 Ferrara2699211101341 Firenze1531034360 Genova382254530 Lecce332222323 LNF162262354 LNGS311234103578 LNL2932875552 LNS104937149 Messina500860 Milano11216241911586 MilanoBicocca492377656 Napoli123416188 Padova731849175 Parma300232 Pavia44113067652 Perugia94527241 Pisa221136335 presid00000 Roma1405284111375996 Roma25161030548 Roma3171341306 Salerno50018133 Torino243545366 Trento500169 Trieste49111964554 Udine1942881394 Totale1536166517315921287 13

14 Servizio DNS SezioneDNS rilevatiDNS ufficiali DNS ufficiali non raggiungibili Numero di vulnerabilità alte Numero di vulnerabilità medie Numero di vulnerabilità basse ID 12217 (DNS cache snooping - medium) ID 10539 (recursive query - medium) ID 10595 (Zone transfer - medium) ID 11932 (negative record cache poisoning - high) ID 33447 (non random ports - high) Aquila 3 2 8 Bari 2 2 6 Bologna 2 2 0 Cagliari 4 31 0 Catania 5 4 2 CNAF 8 68 21 44 Cosenza 1 1 0 Ferrara 1 11 0 Firenze 2 2 0 Genova 4 2 1 1 Lecce 3 21 3 LNF 2 22 6 11 LNGS 3 31 0 LNL 2 2 3 LNS 2 22 4 11 Messina 10 Milano 10 2 2 Milano Bicocca 6 5 6 Napoli 3 3 0 Padova 3 3 4 Parma 1 1 0 Pavia 4 4 9 Perugia 1 11 0 Pisa 3 2 3 presid 2 1 0 Roma1 16 416 9 33 Roma2 3 2 3 Roma3 2 2 1 Salerno 2 2 0 Torino 2 2 0 Trento 2 2 3 Trieste 8 3 4 Udine 1 1 5 Totale 114 776018 103 991 14

15 Servizi web Sezione Numero di server web rilevati Numero di server con vulnerabilità alte Numero di vulnerabilità alte Numero di vulnerabilità medie Numero di vulnerabilità basse Numero di vulnerabilità “web services" di cui vulnerabilita ALTE Aquila31 2 41712114 Bari99 11 148277537327 Bologna11 1 13566 Cagliari34 1 12217616 Catania152 8 1610560734 CNAF48 2 28438126 Cosenza8 0 013181 Ferrara40 4 1664236221 Firenze27 3 92618812 Genova10 2 213442 Lecce10 1 111423 LNF18 2 24517510 LNGS33 5 147219115 LNL11 3 273398171 LNS13 2 627672 Messina13 0 03102 Milano48 12 178336422 Milano Bicocca37 1 2231069 Napoli21 1 19576 Padova11 1 15327151 Parma5 0 000 Pavia27 4 43817116 Perugia22 3 418816 Pisa7 1 1211025 presid2 0 000 Roma1541 22 279582011167 Roma215 2 626945 Roma39 0 010545 Salerno8 0 011604 Torino12 2 321995 Trento4 0 01101 Trieste67 2 54712211 Udine29 2 83110891 Totale1423 100 3422144645749011 15

16 Servizio SMTP SezioneHost ufficiali Numero di host rilevati Numero di vulnerabilità Numero di vulnerabilità alte Numero di vulnerabilità medie Numero di vulnerabilità basse Aquila1 62002 Bari2 58026 Bologna2 47016 Cagliari4 57034 Catania2 45005 CNAF3 57016 Cosenza1 20000 Ferrara2 310028 Firenze1 20000 Genova2 22002 Lecce2 22002 LNF2 41200 LNGS1 20000 LNL1 20000 LNS1 34004 Messina0 00000 Milano2 13180216 MilanoBicocca5 78008 Napoli2 22002 Padova2 24004 Parma1 10000 Pavia2 40000 Perugia1 27016 Pisa1 12002 presid1 10000 Roma15 7220220 Roma21 10000 Roma32 20000 Salerno1 18017 Torino1 88008 Trento1 22002 Trieste1 10000 Udine2 48008 Totale58 110155015140 16

17 Servizio SSH Sezione Numero di server SSH rilevati Numero di nodi con vulnerabilità alte Numero di vulnerabilità alte Numero di vulnerabilità medie Numero di vulnerabilità basse Numero totale di vulnerabilità Aquila 502257178 Bari 901113135149 Bologna 600088 Cagliari 1800013 Catania 78482496128 CNAF 700044 Cosenza 120012021 Ferrara 4952215215232 Firenze 12000 Genova 17600138194 Lecce 1400088 LNF 200044 LNGS 652121477103 LNL 710054045 LNS 80021012 Messina 140041519 Milano 2903524210239 Milano Bicocca 1540026769 Napoli 700044 Padova 200000 Parma 700145 Pavia 11211117118146 Perugia 341143136 Pisa 630066470 presid 000000 Roma1 525008621629 Roma2 204003151154 Roma3 400085159 Salerno 000000 Torino 4712125064 Trento 1300012 Trieste 874805159 Udine 36111174977 Totale 2739226319822922553 17

18 Servizi Windows 18 Sede135/tcp RCP 137/udp NETBIOS 138/udp NETBIOS 139/tcp NETBIOS 389/tcp LDAP445/tcp SMB3389/TCP RDPWindows NTWindows 2000 Aquila 14 6151 1 Bari 1 Bologna 2 Cagliari 1 Catania 5 CNAF 2 Cosenza Ferrara 1 Firenze 2 Genova Lecce LNF LNGS LNL 1 LNS Messina Milano Milano Bicocca 2 Napoli Padova Parma Pavia 2 Perugia 1 Pisa presid Roma1 2 14 12 Roma2 Roma3 Salerno Torino 1 111 Trento 1 1 1 Trieste Udine 1 Totale 160811924 25

19 Conclusioni E’ quasi pronto il Rapporto 2011, sarà consegnato a CCR Ci sono ancora troppi server vulnerabili, facilmente visibili dall’esterno. Ricordiamo le raccomandazioni: mantenere i sistemi aggiornati e installare le patch di sicurezza rivedere le regole di firewalling separare i servizi critici Migliorano i servizi SMTP e DNS, male Web, SSH Pagine web del gruppo https://audiweb.infn.it/ https://www.bo.infn.it/calcolo/INFN/audit/ A questo lavoro hanno contribuito i membri del gruppo auditing: Franco Brasolin, Roberto Cecchini, Fulvia Costa, Leandro Lanzi, Aurora Mazzone, Michele Michelotto, Ombretta Pinazza 19


Scaricare ppt "Auditing di sicurezza Report 2011 O. Pinazza per il gruppo Auditing CCR-INFN Tutorial Sicurezza CCR, LNF 15 febbraio 2012 1."

Presentazioni simili


Annunci Google