Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
1
AUDITING DEI SISTEMI DI POSTA ELETTRONICA Prima fase: definizione della procedura, politiche di sicurezza Workshop 11-15 maggio 2009 Ombretta Pinazza, per il gruppo di lavoro Mailing Fulvia Costa, Francesco Ferrera, Diego Leanza, Alessia Spitaleri
2
Traccia della presentazione
Descrizione del progetto Verso una procedura di auditing Punto di partenza Metodologia Primi risultati Stato del servizio Feedback dalle sedi Conclusioni Workshop CCR e INFN-GRID, Palau maggio 2009
3
Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009
Auditing Controllo di un sistema, effettuato in modo tale da permettere di confrontare le attività svolte sul sistema analizzato con le politiche e le procedure stabilite al fine di determinare la loro conformità, suggerendo eventualmente l'opportunità di introdurre delle migliorie Politiche Verifiche Confronto Migliorie Workshop CCR e INFN-GRID, Palau maggio 2009
4
Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009
Fasi dell’Auditing Il processo di auditing di un sistema informatico deve essere sistematico e documentato; generalmente si compone dei seguenti passi: Analisi dei rischi Definizione degli obiettivi Pianificazione Raccolta evidenze Conclusioni e raccomandazioni Rapporto di Audit Workshop CCR e INFN-GRID, Palau maggio 2009
5
Descrizione del progetto
Obiettivo Capire meglio le politiche comuni Contribuire al progetto Risultati Istantanea dei servizi di posta esistenti Identificati e risolti problemi di configurazione e di sicurezza Punto di partenza per la definizione di politiche comuni Workshop CCR e INFN-GRID, Palau maggio 2009
6
Procedura/Metodologia
Individuazione dei nodi di nostro interesse scan Nmap delle reti assegnate ad ogni sede Interrogazione MX sui DNS Analisi dei servizi rilevati Script tcl generano una connessione al nodo e memorizzano ogni passaggio della connessione Script perl aprono una connessione in ssl o con starttls SMTP, SMTP/SSL, STARTTLS, SMTP AUTH POP, POPS, IMAP, IMAPS Altri servizi (HTTP, HTTPS, LDAP) Report modulari sul web/afs suddivisi per sedi Workshop CCR e INFN-GRID, Palau maggio 2009
7
Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009
Evoluzione Procedura sistematica Ridefinizione dell’insieme di nodi da controllare Generazione di report automatici Prossima versione SW Integrazione dei diversi script Approfondimento dell’analisi di alcuni servizi Workshop CCR e INFN-GRID, Palau maggio 2009
8
Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009
Risultati 1 Confronto con gli anni precedenti Censimento 2007 Censimento 2008 Scan 2009 Numero di nodi 71 80 150 Media per sede 2.7 3.1 4.4 Workshop CCR e INFN-GRID, Palau maggio 2009
9
Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009
Risultati 2 Workshop CCR e INFN-GRID, Palau maggio 2009
10
Vulnerabili o malconfigurati
Risultati 3 34 Sedi INFN 150 Nodi in totale 22 (64%) SMTP AUTH 55 MX ufficiali 11 (32%) SMTP/SSL su 465 77 Servizi SMTP Vulnerabili o malconfigurati 14 (41%) 35 (23%) 7 (21%) 10 (7%) 13 (38%) 4 (3%) Workshop CCR e INFN-GRID, Palau maggio 2009
11
Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009
Conclusioni Feedback buono: almeno 25 sedi (il 74%) hanno guardato il proprio report molti hanno segnalato errori altri sono subito intervenuti sul proprio sistema è una base di partenza per la procedura di auditing dei sistemi di posta Workshop CCR e INFN-GRID, Palau maggio 2009
12
Ringraziamenti, domande e discussione
Grazie a Fulvia Costa, Franco Ferrera, Diego Leanza e Alessia Spitaleri Workshop CCR e INFN-GRID, Palau maggio 2009
13
Workshop CCR e INFN-GRID, Palau 11-15 maggio 2009
Discussione Spunti per la discussione Reti assegnate: mix fra domini INFN, CNR, Dipartimenti, … Politiche comuni per SMTP AUTH? Controllo porta 25 in/out Archiviazione dati auditing e visibilità Workshop CCR e INFN-GRID, Palau maggio 2009
Presentazioni simili
