La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Report Scansioni – Auditing Gruppo Auditing Franco Brasolin BO Patrizia Belluomo CT Roberto Cecchini FI (chair) Michele Michelotto PD (speaker)

PubblicatoAloisio Leoni Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "Report Scansioni – Auditing Gruppo Auditing Franco Brasolin BO Patrizia Belluomo CT Roberto Cecchini FI (chair) Michele Michelotto PD (speaker)"— Transcript della presentazione:

1 Report Scansioni – Auditing Gruppo Auditing Franco Brasolin BO Patrizia Belluomo CT Roberto Cecchini FI (chair) Michele Michelotto PD (speaker)

2 Report Scansioni – Auditing Gruppo Auditing Siamo uno dei sottogruppi del gruppo SECURITY Siamo attivi circa dal 2007 Richiesta di CCR di un gruppo che facesse auditing per le sedi INFN –Esplorata la possibilità di darlo in outsourcing (GARR? A pagamento?) Non si tratta dell’occupazione principale o della massima aspirazione per nessuno di noi

3 Report Scansioni – Auditing Gli strumenti 3 macchine dislocate in diverse sedi (audifi, audibo, audipd) Nessus: Abbiamo una licenza annuale Nmap: gratuito Altri tool es dhcp_probe, nikto Altri sviluppati in casa: IP_Next, e script vari Un sito web per informare i responsabili

4 Report Scansioni – Auditing Macchine virtuali Disponibili macchine virtuali –(Xen ma ci stiamo spostando verso VMWARE) –per scansioni dall’interno della propria LAN, sia per NESSUS che per NMAP –Ma anche recentemente per il worm Conficker

5 Report Scansioni – Auditing Scansioni Scansioni periodiche con nmap su alcune porte per trovare i server sensibili Scansione completa di queste macchine per trovare i punti deboli di queste macchine I risultati vanno su un server web a cui si accede con password e a volte solo i risultati della proprio sezione In futuro tutti i membri CCR potranno accedere, mentre i responsabili locali sono alle loro scansioni (user/pass + certificato)

6 Report Scansioni – Auditing

7

8

9 Servizi Mail Collaborazione con il gruppo Mailing –Vedete il talk successivo di Ombretta –Scansione delle reti per le porte legate al mailing –Scansione di Nessus di tutte le debolezze di questi server –Script per collegarsi in telnet e provare Starttls etc… –Situazione in evoluzione a causa della scansione? –Molti ancora non hanno autenticazione criptata dall’esterno

10 Report Scansioni – Auditing IPNEXT Tool Sviluppato da Patrizia –Script per mandare agli utenti i risultati di loro competenza –Generazione di report statistici per seguire l’evoluzione nel tempo –Sta anche questo su una macchina virtuale VMWARE

11 Report Scansioni – Auditing Scansione web Maggio 09

12 Report Scansioni – Auditing Solo High severity

13 Report Scansioni – Auditing Da capire I risultati sono ancora da capire Forse alcuni sono problemi ripetuti su di una stessa macchina Solo i responsabili locali possono capire bene cosa succede

14 Report Scansioni – Auditing Conficker Un worm che attacca macchine windows. Molto diffuso ultimamente Modifica DNS per impedire di scaricare antivirus

15 Report Scansioni – Auditing Come vedere se il proprio PC è infettato Se non riesce a collegarsi con siti di noti antivirus

16 Report Scansioni – Auditing Con nmap beta 4.85b8 Su mac os X (immune) nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns -- script-args safe=1 192.168.0.1-254 Se infetto: –Host script results: | smb-check-vulns: | MS08-067: FIXED | Conficker: Likely INFECTED |_ regsvc DoS: VULNERABLE Da Linux: nmap -sC --script=smb-check-vulns --script-args=safe=1 - p445 -d -PN -n -T4 --min-hostgroup 256 --min-parallelism 64 131.154.102.0/24

17 Report Scansioni – Auditing Conficker Abbiamo mandato informazioni per scansioni con nmap beta Creato macchina virtuale per gli scan: http://www.bo.infn.it/calcolo/INFN/VM/VMware/VMware.index#nmap scaricata solo da Perugia

18 Report Scansioni – Auditing Web server Cercare di concentrare tutto in pochi web server –aggiornati dai servizi di calcolo –usare i server virtuali di Apache I server “attivi” con cgi, script, PHP etc… sono molto vulnerabili –Metterli su porte non standard se non si riesce a tenerli aggiornati Filtrare le porte in entrata esclusi i server ufficiali e noti ai servizi –Per evitare i web personali su porta 80 –Per evitare di esporre web server di stampanti e appliances vari

19 Report Scansioni – Auditing DNS 65 server attivi 50 ok per query ricorsive 48 ok per query RootNameserver 13 sono ancora BAD per query ricorsive 15 sono ancora BAD per query RootNameserver da fuori LAN 2 non raggiunbili Nella pagina web gestita da Franco http://www.bo.infn.it/calcolo/INFN/audit/dns/NoteDNS.html si spiega come risolvere questi problemi http://www.bo.infn.it/calcolo/INFN/audit/dns/NoteDNS.html

20 Report Scansioni – Auditing SSH Le porte SSH sono molto soggette a scan Usare un bastion host che va tenuto aggiornatissimo –Per entrare su di una macchina in ssh bisogna conoscere la password di un utente sul bastion host. Evitando la creazione di account illegali –Sulle singole macchine filtrare accesso con iptables o tcpwrapper (hosts.allow hosts.deny) –Filtrare comunque sul router di frontiera per quanto possibile Molte sedi lo hanno implementato senza troppe proteste degli utenti –Alcuni devono imparare ad usare i tunnel ssh

21 Report Scansioni – Auditing In generale Evitare servizi misti –Mail server deve fare solo da mail server. Non metterci un web (a meno di webmail) –Non permettere accesso ssh dall’esterno a queste macchine –Anzi magari solo dalle macchine del servizio

22 Report Scansioni – Auditing Problemi delle sedi Nessuno è perfetto, molte sedi hanno diverse vulnerabilità gravi e tante medie sappiamo ci vuole tempo per patchare tutto Altre sedi per contro hanno un numero elevatissimo di macchine esposte –Situazione fuori controllo –Spesso non hanno l’effettivo controllo (numeri IP INFN dati in gestione ad altri enti dentro i dipartimenti di FISICA)

23 Report Scansioni – Auditing Aspetti psicologici Motivazione del gruppo auditing –Noi del gruppo lo facciamo ma NON trascinati da grande passione. Va fatto e a volte può rivelarsi interessante –Importante avere del feedback positivo –A volte riceviamo lamentele e inviti a smetterla (i responsabili non hanno avvertito della scansione?) –A volte siamo proprio ignorati

24 Report Scansioni – Auditing Spunti per la discussione finale Come possiamo fare per migliorare il servizio che vi stiamo offrendo? Avete consigli da darci? –Altri tipi di attività di tipo auditing –Altre porte o server da controllare –Smetterla con certi tipi di scansione? –Come rendere pubblici i risultati –Sensibilizzare i direttori? Avete strumenti da consigliare?

Scaricare ppt "Report Scansioni – Auditing Gruppo Auditing Franco Brasolin BO Patrizia Belluomo CT Roberto Cecchini FI (chair) Michele Michelotto PD (speaker)"

Presentazioni simili

Organizzare e condurre riunioni efficaci

Organizzare e condurre riunioni efficaci
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.

Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
INTERNET FIREWALL Bastion host Laura Ricci.

INTERNET FIREWALL Bastion host Laura Ricci.
Connessione con MySQL.

Connessione con MySQL.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.

Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
NESSUS.

NESSUS.
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.

UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
Corso di Sicurezza su Reti II

Corso di Sicurezza su Reti II
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis

Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Windows Sistema operativo con interfaccia grafica per PC IBM compatibili (varie versioni dal 95) La gestione dei file viene fatta secondo le modalità.

Windows Sistema operativo con interfaccia grafica per PC IBM compatibili (varie versioni dal 95) La gestione dei file viene fatta secondo le modalità.
Wireless Authentication

Wireless Authentication
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.

Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.

Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus 7.1.2.1 – 7.1.2.6)

Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Usare la posta elettronica con il browser web

Usare la posta elettronica con il browser web
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.

VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
Server Web in una rete Windows 2000. Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.

Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
AICA Corso IT Administrator: modulo 4 AICA © 2005 1 EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.

AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Corso Rapido Sicurezza Web STELMILIT Ufficio TLC Sezione Reti TLC C° 1^ ETE Matteo Cannito.

Corso Rapido Sicurezza Web STELMILIT Ufficio TLC Sezione Reti TLC C° 1^ ETE Matteo Cannito.
Amministrazione della rete: web server Apache

Amministrazione della rete: web server Apache

Presentazioni simili

Annunci Google