Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoAloisio Leoni Modificato 8 anni fa
1
Report Scansioni – Auditing Gruppo Auditing Franco Brasolin BO Patrizia Belluomo CT Roberto Cecchini FI (chair) Michele Michelotto PD (speaker)
2
Report Scansioni – Auditing Gruppo Auditing Siamo uno dei sottogruppi del gruppo SECURITY Siamo attivi circa dal 2007 Richiesta di CCR di un gruppo che facesse auditing per le sedi INFN –Esplorata la possibilità di darlo in outsourcing (GARR? A pagamento?) Non si tratta dell’occupazione principale o della massima aspirazione per nessuno di noi
3
Report Scansioni – Auditing Gli strumenti 3 macchine dislocate in diverse sedi (audifi, audibo, audipd) Nessus: Abbiamo una licenza annuale Nmap: gratuito Altri tool es dhcp_probe, nikto Altri sviluppati in casa: IP_Next, e script vari Un sito web per informare i responsabili
4
Report Scansioni – Auditing Macchine virtuali Disponibili macchine virtuali –(Xen ma ci stiamo spostando verso VMWARE) –per scansioni dall’interno della propria LAN, sia per NESSUS che per NMAP –Ma anche recentemente per il worm Conficker
5
Report Scansioni – Auditing Scansioni Scansioni periodiche con nmap su alcune porte per trovare i server sensibili Scansione completa di queste macchine per trovare i punti deboli di queste macchine I risultati vanno su un server web a cui si accede con password e a volte solo i risultati della proprio sezione In futuro tutti i membri CCR potranno accedere, mentre i responsabili locali sono alle loro scansioni (user/pass + certificato)
6
Report Scansioni – Auditing
9
Servizi Mail Collaborazione con il gruppo Mailing –Vedete il talk successivo di Ombretta –Scansione delle reti per le porte legate al mailing –Scansione di Nessus di tutte le debolezze di questi server –Script per collegarsi in telnet e provare Starttls etc… –Situazione in evoluzione a causa della scansione? –Molti ancora non hanno autenticazione criptata dall’esterno
10
Report Scansioni – Auditing IPNEXT Tool Sviluppato da Patrizia –Script per mandare agli utenti i risultati di loro competenza –Generazione di report statistici per seguire l’evoluzione nel tempo –Sta anche questo su una macchina virtuale VMWARE
11
Report Scansioni – Auditing Scansione web Maggio 09
12
Report Scansioni – Auditing Solo High severity
13
Report Scansioni – Auditing Da capire I risultati sono ancora da capire Forse alcuni sono problemi ripetuti su di una stessa macchina Solo i responsabili locali possono capire bene cosa succede
14
Report Scansioni – Auditing Conficker Un worm che attacca macchine windows. Molto diffuso ultimamente Modifica DNS per impedire di scaricare antivirus
15
Report Scansioni – Auditing Come vedere se il proprio PC è infettato Se non riesce a collegarsi con siti di noti antivirus
16
Report Scansioni – Auditing Con nmap beta 4.85b8 Su mac os X (immune) nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns -- script-args safe=1 192.168.0.1-254 Se infetto: –Host script results: | smb-check-vulns: | MS08-067: FIXED | Conficker: Likely INFECTED |_ regsvc DoS: VULNERABLE Da Linux: nmap -sC --script=smb-check-vulns --script-args=safe=1 - p445 -d -PN -n -T4 --min-hostgroup 256 --min-parallelism 64 131.154.102.0/24
17
Report Scansioni – Auditing Conficker Abbiamo mandato informazioni per scansioni con nmap beta Creato macchina virtuale per gli scan: http://www.bo.infn.it/calcolo/INFN/VM/VMware/VMware.index#nmap scaricata solo da Perugia
18
Report Scansioni – Auditing Web server Cercare di concentrare tutto in pochi web server –aggiornati dai servizi di calcolo –usare i server virtuali di Apache I server “attivi” con cgi, script, PHP etc… sono molto vulnerabili –Metterli su porte non standard se non si riesce a tenerli aggiornati Filtrare le porte in entrata esclusi i server ufficiali e noti ai servizi –Per evitare i web personali su porta 80 –Per evitare di esporre web server di stampanti e appliances vari
19
Report Scansioni – Auditing DNS 65 server attivi 50 ok per query ricorsive 48 ok per query RootNameserver 13 sono ancora BAD per query ricorsive 15 sono ancora BAD per query RootNameserver da fuori LAN 2 non raggiunbili Nella pagina web gestita da Franco http://www.bo.infn.it/calcolo/INFN/audit/dns/NoteDNS.html si spiega come risolvere questi problemi http://www.bo.infn.it/calcolo/INFN/audit/dns/NoteDNS.html
20
Report Scansioni – Auditing SSH Le porte SSH sono molto soggette a scan Usare un bastion host che va tenuto aggiornatissimo –Per entrare su di una macchina in ssh bisogna conoscere la password di un utente sul bastion host. Evitando la creazione di account illegali –Sulle singole macchine filtrare accesso con iptables o tcpwrapper (hosts.allow hosts.deny) –Filtrare comunque sul router di frontiera per quanto possibile Molte sedi lo hanno implementato senza troppe proteste degli utenti –Alcuni devono imparare ad usare i tunnel ssh
21
Report Scansioni – Auditing In generale Evitare servizi misti –Mail server deve fare solo da mail server. Non metterci un web (a meno di webmail) –Non permettere accesso ssh dall’esterno a queste macchine –Anzi magari solo dalle macchine del servizio
22
Report Scansioni – Auditing Problemi delle sedi Nessuno è perfetto, molte sedi hanno diverse vulnerabilità gravi e tante medie sappiamo ci vuole tempo per patchare tutto Altre sedi per contro hanno un numero elevatissimo di macchine esposte –Situazione fuori controllo –Spesso non hanno l’effettivo controllo (numeri IP INFN dati in gestione ad altri enti dentro i dipartimenti di FISICA)
23
Report Scansioni – Auditing Aspetti psicologici Motivazione del gruppo auditing –Noi del gruppo lo facciamo ma NON trascinati da grande passione. Va fatto e a volte può rivelarsi interessante –Importante avere del feedback positivo –A volte riceviamo lamentele e inviti a smetterla (i responsabili non hanno avvertito della scansione?) –A volte siamo proprio ignorati
24
Report Scansioni – Auditing Spunti per la discussione finale Come possiamo fare per migliorare il servizio che vi stiamo offrendo? Avete consigli da darci? –Altri tipi di attività di tipo auditing –Altre porte o server da controllare –Smetterla con certi tipi di scansione? –Come rendere pubblici i risultati –Sensibilizzare i direttori? Avete strumenti da consigliare?
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.