LANguard Network Security Scanner Manual

Transcript

GFI LANguard Network Security Scanner 6
Manuale
GFI Software Ltd.
GFI SOFTWARE Ltd.
http://www.gfi-italia.com
Email: [email protected]
Le informazioni contenute nel presente documento sono soggette a
modifica senza preavviso. Le società, i nomi e i dati utilizzati negli
esempi sono fittizi salvo diversamente indicato. Nessuna parte del
presente documento può essere riprodotta o trasmessa in alcuna
forma, elettronica o meccanica, per qualsiasi scopo, senza esplicita
autorizzazione scritta di GFI SOFTWARE Ltd.
LANguard è copyright di GFI SOFTWARE Ltd. 2000-2004 GFI
SOFTWARE Ltd. Tutti i diritti riservati.
Versione 6.0 – Ultimo aggiornamento: 8 febbraio 2005
Indice
Introduzione
5
Introduzione a GFI LANguard Network Security Scanner ............................................. 5
Importanza della sicurezza della rete interna ................................................................ 5
Caratteristiche principali................................................................................................. 6
Componenti di GFI LANguard N.S.S. ............................................................................ 7
Schema di Licenza......................................................................................................... 7
Installazione di GFI LANguard Network Security Scanner
9
Requisiti di Sistema........................................................................................................ 9
Procedura d’installazione............................................................................................... 9
Immissione del Codice seriale dopo l’installazione...................................................... 11
Guida introduttiva: esecuzione di un controllo
13
Introduzione alle verifiche di sicurezza ........................................................................ 13
Esecuzione di una scansione ...................................................................................... 13
Analisi dei risultati di scansione ................................................................................... 15
IP, nome della macchina, sistema operativo e livello del
service pack .................................................................................................... 15
Nodo delle vulnerabilità................................................................................... 15
Il nodo delle vulnerabilità potenziali ................................................................ 17
Condivisioni..................................................................................................... 17
Politica delle password ................................................................................... 18
Registro di configurazione del sistema (Registry) .......................................... 18
Politica di controllo della sicurezza ................................................................. 19
Porte aperte .................................................................................................... 20
Utenti e Gruppi ................................................................................................ 21
Utenti collegati................................................................................................. 21
Servizi ............................................................................................................. 22
Stato dell’applicazione delle patch del sistema .............................................. 22
Dispositivi di rete ............................................................................................. 22
Dispositivi USB................................................................................................ 23
Risultati supplementari................................................................................................. 24
Computer ........................................................................................................ 25
Esecuzione di scansioni In sede (On site) o Fuori sede (Off site)............................... 25
Scansione In sede (On site)............................................................................ 25
Scansione Fuori sede (Off Site)...................................................................... 26
Confronto fra scansioni on site e off site......................................................... 26
Salvataggio e caricamento dei risultati di scansione
29
Introduzione ................................................................................................................. 29
Salvataggio dei risultati di scansioni in un file esterno................................................. 29
Caricamento dei risultati di scansione salvati .............................................................. 29
Caricamento delle scansioni salvate dal database......................................... 29
Caricamento di scansioni salvate da un file esterno....................................... 30
Risultati della scansione filtrata
31
Introduzione ................................................................................................................. 31
Manuale di LANguard Network Security Scanner
Indice • i
Selezione del file source dei risultati della scansione.................................................. 32
Creazione di un filtro di scansione personalizzato....................................................... 32
Configurazione di GFI LANguard N.S.S.
37
Introduzione alla configurazione di GFI LANguard N.S.S............................................ 37
Profili di scansione ....................................................................................................... 37
Porte TCP/UDP sottoposte a scansione...................................................................... 38
Come aggiungere/modificare/rimuovere delle porte....................................... 38
Dati del sistema operativo sottoposto a scansione...................................................... 39
Vulnerabilità sottoposte a scansione ........................................................................... 40
Tipi di vulnerabilità .......................................................................................... 40
Scaricamento delle vulnerabilità della sicurezza più recenti ......................... 41
Patch sottoposte a scansione ...................................................................................... 41
Opzioni dello scanner .................................................................................................. 42
Metodi di scoperta sulla rete ........................................................................... 43
Dispositivi ..................................................................................................................... 45
Dispositivi di rete ............................................................................................. 45
Dispositivi USB................................................................................................ 46
Scansioni pianificate .................................................................................................... 48
File dei parametri ......................................................................................................... 50
Utilizzazione di GFI LANguard N.S.S. dalla riga dei comandi ..................................... 51
Impiego di patch
53
Introduzione all’impiego di patch.................................................................................. 53
L’agente per l’impiego delle patch .................................................................. 53
Fase 1: effettuare una scansione della rete................................................................. 53
Fase 2: selezionare su quali macchine mettere in funzione le patch .......................... 54
Fase 3: selezionare le patch da impiegare .................................................................. 55
Fase 4: scaricare i file delle patch e dei service pack.................................................. 56
Scaricamento delle patch................................................................................ 57
Fase 5: correggere i parametri d’impiego del file......................................................... 57
Fase 6: impiegare gli aggiornamenti............................................................................ 58
Impiego di software personalizzato.............................................................................. 59
Fase 1: selezionare le macchine su cui installare il software o
le patch............................................................................................................ 60
Fase 2: specificare il software da impiegare................................................... 60
Fase 3: avviare il processo d’impiego............................................................. 61
Opzioni d’impiego......................................................................................................... 62
Scheda “General” (Generale) ......................................................................... 62
Scheda “Advanced” (Opzioni avanzate) ......................................................... 63
Scheda Download Directory (Directory di scaricamento) ............................... 63
Confronto tra risultati
65
Perchè paragonare i risultati? ...................................................................................... 65
Esecuzione di un confronto tra risultati di scansioni in modo
interattivo...................................................................................................................... 65
Esecuzione di un confronto tramite l’opzione delle scansioni
pianificate ..................................................................................................................... 66
Monitor di stato di GFI LANguard N.S.S.
69
Visualizzazione delle operazioni pianificate................................................................. 69
Scansione pianificata attiva ............................................................................ 69
Impieghi pianificati .......................................................................................... 70
Opzioni di manutenzione del database
73
Introduzione ................................................................................................................. 73
Scheda “Change Database” (Cambia database)......................................................... 73
Indice • ii
MS Access ...................................................................................................... 73
MS SQL Server ............................................................................................... 74
Scheda “Manage Saved Scan results” (Gestisci risultati di scansione
salvati).......................................................................................................................... 75
Scheda “Advanced Options” (Opzioni avanzate)......................................................... 75
Strumenti
77
Introduzione ................................................................................................................. 77
Ricerca DNS ................................................................................................................ 77
Trace Route (Tracciato del percorso) .......................................................................... 78
Whois Client (Chi è il client) ......................................................................................... 79
SNMP Walk.................................................................................................................. 79
SNMP Audit (Controllo SNMP) .................................................................................... 80
MS SQL Server Audit (Controllo di MS SQL Server)................................................... 80
Enumerate Computers (Conta computer).................................................................... 81
Lancio di una scansione per la sicurezza ....................................................... 81
Impiego di patch personalizzate ..................................................................... 82
Abilitazione di politiche di controllo ................................................................. 82
Elencazione di utenti .................................................................................................... 82
Aggiunta di controlli di vulnerabilità tramite condizioni o script
83
Introduzione ................................................................................................................. 83
Linguaggio VBscript di GFI LANguard N.S.S. ............................................................. 83
Modulo SSH di GFI LANguard N.S.S. ......................................................................... 83
Parole chiave: ................................................................................................. 84
Aggiunta di un controllo di vulnerabilità che utilizza uno script vbs
personalizzato .............................................................................................................. 87
Fase 1: creazione dello script ......................................................................... 87
Fase 2: aggiunta del nuovo controllo di vulnerabilità:..................................... 88
Aggiunta di un controllo di vulnerabilità che utilizza uno script SSH
personalizzato .............................................................................................................. 89
Fase 1: creazione dello script ......................................................................... 89
Fase 2: aggiunta del nuovo controllo di vulnerabilità:..................................... 90
Aggiunta di un controllo di vulnerabilità CGI................................................................ 91
Aggiunta di altri controlli di vulnerabilità....................................................................... 92
Risoluzione dei problemi
97
Introduzione ................................................................................................................. 97
Knowledgebase............................................................................................................ 97
Domande più frequenti (FAQ) generali ........................................................................ 97
Richiesta di assistenza tramite email........................................................................... 97
Richiesta di supporto tramite web-chat........................................................................ 98
Richiesta di assistenza telefonica ................................................................................ 98
Forum via web.............................................................................................................. 98
Notifiche di aggiornamento delle versioni .................................................................... 98
Indice analitico
99
Indice • iii
Introduzione
Introduzione a GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) è
uno strumento che permette agli amministratori di rete di effettuare un
controllo di di sicurezza della rete rapidamente e con facilità. GFI
LANguard N.S.S. crea rappoti che possono essere utilizzati per
risolvere i problemi della sicurezza di una rete. È anche in grado di
eseguire la gestione delle patch.
A differenza di altri scanner per la sicurezza, GFI LANguard N.S.S.
non crea una “raffica” di informazioni, virtualmente impossibile da
seguire. Piuttosto, aiuta a mettere in rilievo le informazioni più
importanti. Fornisce inoltre collegamenti ipertestuali a siti sicuri per
saperne di più su queste vulnerabilità.
Avvalendosi di una scansione intelligente, GFI LANguard N.S.S.
raccoglie informazioni dalle macchine, quali nomi utente, gruppi,
condivisioni di rete, dispositivi USB, dispositivi wirelesse altre
informazioni trovate su un dominio Windows.
A parte questo, GFI LANguard N.S.S. identifica inoltre vulnerabilità
specifiche, come problemi di configurazione in server FTP, exploit in
Microsoft IIS e Apache Web Server ovvero problemi di configurazione
della politica di sicurezza in NT, oltre a molti altri possibili problemi di
sicurezza.
Importanza della sicurezza della rete interna
La sicurezza della rete interna è, molto frequentemente, sottostimata
dai suoi amministratori. Molto spesso, questa sicurezza non esiste
nemmeno e consente ad un utente di accedere facilmente alla
macchina di un altro utente, utilizzando exploit ben noti, relazioni di
fiducia e impostazioni predefinite. La maggior parte di questi attacchi
non richiede particolari abilità, ma mette a repentaglio l’integrità della
rete.
Gran parte dei dipendenti non ha bisogno di accedere nè dovrebbe
avere accesso alle macchine altrui, a funzioni amministrative,
dispositivi di rete e così via. Tuttavia, a causa della flessibilità richiesta
per la normale gestione, le reti interne non possono permettersi una
sicurezza massima. D’altro canto, senza alcuna sicurezza, gli utenti
interni possono costituire una grave minaccia per molte reti aziendali
interne.
All'interno dell'azienda, un utente ha già accesso a molte risorse
interne e non ha bisogno di superare firewall o altri meccanismi di
sicurezza che impediscono a fonti non fidate, come gli utenti di
Internet, di accedere alla rete interna. Tali utenti interni, dotati di
Introduzione • 5
capacità da hacker, possono penetrare ed ottenere diritti remoti di
amministrazione di reti, garantendosi, allo stesso modo, che il loro
abuso risulti difficile da identificare o persino da scoprire.
L’80% degli attacchi di reti, infatti, ha origine all’interno del firewall
(ComputerWorld, gennaio 2002).
Una sicurezza della rete scarsa comporta inoltre che, se un hacker
esterno riesce a penetrare nel computer della vostra rete, può
accedere più facilmente al resto della rete interna. Ciò consentirebbe
ad un attacker di leggere e probabilmente divulgare email
confidenziali e documenti, cestinare computer, comportando la perdita
di informazioni e molto altro. Per non parlare, poi, dell’utilizzo della
rete e delle risorse di rete per cominciare ad attaccare altri siti, il che,
una volta scoperto, farà risalire a voi e alla vostra azienda, non
all’hacker.
La maggioranza degli attacchi, contro exploit conosciuti, potrebbe
essere riparata facilmente e quindi arrestata dagli amministratori se
fossero, innanzi tutto, a conoscenza della vulnerabilità. La funzione di
GFI LANguard N.S.S. è di assistere gli amministratori
nell’identificazione di tali vulnerabilità.
Caratteristiche principali
6 • Introduzione
•
Scopre servizi pericolosied apre porte TCP e UDP.
•
Individua CGI, DNS, FTP, Posta, RPC e altre vulnerabilità
conosciute.
•
Rileva dispositivi wireless.
•
Individua il file Rogue oppure utenti back door
•
Individua condivisioni aperte ed elenca coloro che hanno accesso
a tali condivisioni insieme alle rispettive autorizzazioni.
•
Elencazione di gruppi, compresi i membri del gruppo.
•
Elencazione di utenti, servizi, ecc.
•
Elencazione di dispositivi USB.
•
Elencazione di dispositivi di rete e identificazione del tipo di
dispositivo (cablato, wireless, virtuale)
•
Può effettuare Scansioni pianificate.
•
Aggiorna automaticamente
Sicurezza.
•
Capacità di individuare hotfix e service pack mancanti nel sistema
operativo.
•
Capacità di individuare hotfix e service pack mancanti nelle
applicazioni supportate.
•
Capacità di salvare e caricare i risultati di scansione.
•
Capacità di eseguire confronti tra scansioni e apprendere nuovi
possibili punti di entrata.
•
Capacità di applicare patch al sistema operativo (sistemi Windows
in lingua inglese, francese, tedesca, italiana, spagnola) e ad
applicazioni Office (in lingua inglese, francese, tedesca, italiana,
spagnola).
i
controlli
di vulnerabilità
della
•
Identificazione del sistema operativo.Individuazione del live host.
•
Uscite database, HTML, XSL e XML.
•
Controllo di SNMPe MS SQL.
•
Compatibile con il linguaggio di scritp VBscript per realizzare
controlli di vulnerabilità personalizzati.
•
Modulo SSH che consente l’esecuzione di script di sicurezza su
macchine Linux e Unix.
•
Scansione di più computer contemporaneamente.
Componenti di GFI LANguard N.S.S.
GFI LANguard N.S.S. è basato su un'architettura di tipo aziendale ed
è composto dei seguenti elementi
GFI LANguard Network Security Scanner
Si tratta dell’interfaccia principale del prodotto. Utilizzare
quest’applicazione per visualizzare i risultati della scansione in tempo
reale, configurando le opzioni e i profili di scansione, i rapporti dei filtri,
l’utilizzo di strumenti amministrativi specializzati della sicurezza e
molto altro.
Servizio di supervisione di GFI LANguard N.S.S.
Questo servizio esegue scansioni pianificate della rete e impieghi
programmati delle patch. Funziona in background.
Servizio di agente delle patch di GFI LANguard N.S.S.
Questo servizio è messo in funzione sulle macchine target sulle quali
devono essere impiegati una patch, un service pack o un software e si
occupa dell’effettiva installazione della patch, del service pack o del
software.
GFI LANguard N.S.S. Script Debugger
Utilizzare questo modulo per scrivere/correggere script personalizzati
creati.
Monitor di GFI LANguard N.S.S.
Utilizzare questo modulo per monitorare lo stato delle scansioni
pianificate e gli aggiornamenti software correnti. È inoltre possibile
arrestare operazioni pianificate che non sono ancora state eseguite.
Schema di Licenza
Lo schema di concessione delle licenze di GFI LANguard N.S.S.
dipende dal numero di macchine e dispositivi che si desidera
sottoporre a scansione. Ad esempio, la licenza 100 IP consente di
effettuare la scansione fino a 100 macchine o dispositivi da una
singola stazione di lavoro o server della rete.
Introduzione • 7
Installazione di GFI LANguard Network
Security Scanner
Requisiti di Sistema
L’installazione di GFI LANguard Network Security Scanner richiede i
seguenti requisiti di sitema:
•
Windows 2000/2003 o Windows XP
•
Internet Explorer 5.1 o superiore
•
Installazione del client per reti Microsoft
•
Durante le scansioni, NON è consentita l’esecuzione di software di
firewall personali oppure Windows XP Internet Connection Firewall
Possono infatti bloccare la funzionalità di GFI LANguard N.S.S.
NOTA: informazioni più dettagliate sulle modalità di configurazione
delle politiche di Active Directory, affinché supporti la scansione di
o da computer Windows XP con Service pack 2, sono disponibili
sul sito: http://kbase.gfi.com/showarticle.asp?id=KBID002177.
•
Per impiegare patch su macchine remote sono richiesti privilegi di
amministratore
Procedura d’installazione
1. Eseguire il programma d’installazione di LANguard Network
Security Scanner facendo doppio clic sul file “languardnss6.exe”.
Confermare che si desidera installare GFI LANguard N.S.S. Viene
quindi avviato il programma d’installazione guidata (wizard). Fare clic
su Avanti.
2. Dopo aver letto il Contratto di licenza nella finestra di dialogo, fare
clic su Yes (Sì) per accettare le condizioni contrattuali e proseguire
con l’installazione.
3. La procedura d’installazione richiede le informazioni sull’utente e il
codice seriale
Installazione di GFI LANguard Network Security Scanner • 9
Indicazione delle credenziali dell’amministratore del dominio o utilizzazione di un account di
sistema locale
4.
La
procedura
d'installazione
richiede
le
credenziali
dell’amministratore del dominio, che saranno utilizzate dal servizio di
supervisione di LANguard N.S.S (LANguard N.S.S Attendant),
esecutore delle scansioni pianificate. Immettere le credenziali richieste
e fare clic su Next (Avanti).
Scelta del terminale database
5. La procedura d’installazione richiede di scegliere il terminale
database per il database GFI LANguard N.S.S. Scegliere tra Microsoft
Access o Microsoft SQL Server\MSDE e fare clic su Next (Avanti).
NOTA: Il Server/MSDE SQL deve essere installato in modalità mista o
di autenticazione del server SQL. Non è supportata la sola modalità di
autenticazione NT.
10 • Installazione di GFI LANguard Network Security Scanner
6. Se si seleziona Microsoft SQL Server/MSDE come terminale
database, verranno richieste le credenziali SQL da utilizzare per
accedere al database. Fare clic su Next (Avanti) per continuare.
7. La procedura d’installazione richiede l’indirizzo email di un
amministratore ed il nome del server di posta. Tali impostazioni
verranno utilizzate per inviare messaggi amministrativi di allerta.
8. Scegliere la locazione di destinazione di GFI LANguard N.S.S. e
fare clic su Next (Avanti). GFI LANguard N.S.S. richiede circa 40 MB
di spazio libero sul disco fisso.
9. Dopo che GFI LANguard N.S.S. è stato installato, è possibile
eseguire GFI LANguard Network Security Scanner dal menu di avvio.
Immissione del Codice seriale dopo l’installazione
Se GFI LANguard N.S.S. è stato acquistato, è possibile inserire il
Codice seriale nel nodo General > Licensing (Generale > Licenza).
Se si sta valutando GFI LANguard N.S.S., il periodo di valutazione
(con il relativo codice) ha una durata di 60 giorni. Se si decide in
seguito di acquistare GFI LANguard N.S.S., inserire il Codice seriale
in questo punto, senza reinstallare il prodotto.
Si deve ottenere un numero di licenze di GFI LANguard N.S.S. pari al
numero di macchine che si desidera sottoporre a scansione e al
numero di macchine sulle quali si desidera installarlo. Se ci sono 3
amministratori che utilizzano GFI LANguard N.S.S., allora si devono
acquistare 3 licenze.
L’immissione del Codice seriale non va confusa con la procedura di
registrazione dei dati dell’azienda sul nostro sito Web. Questa
seconda fase è molto importante in quanto ci consente di fornire
l’assistenza e comunicare notizie importanti relative al prodotto.
Effettuare la registrazione sulla pagina web:
http://www.gfi-italia.com/pages/regfrm.htm
Nota: per scoprire come acquistare GFI LANguard N.S.S., seguire il
nodo General > How to purchase (Generale > Come acquistare).
Installazione di GFI LANguard Network Security Scanner • 11
Guida introduttiva: esecuzione di un
controllo
Introduzione alle verifiche di sicurezza
Il controllo delle risorse di rete consente all'amministratore di
identificare eventuali rischi all'interno della rete. Un controllo manuale
richiederebbe molto tempo, a causa delle attività e delle procedure
ripetitive da effettuare su ogni macchina della rete. GFI LANguard
N.S.S. rende automatico il processo di controllo della sicurezza e
identifica facilmente vulnerabilità comuni nell’ambito della rete in tempi
rapidi.
Nota: se la propria azienda utilizza un qualunque tipo di software per
la scoperta di intrusioni (Intrusion Detection Software – IDS), si tenga
presente che l’utilizzo di LANguard Network Security Scanner attiverà
quasi tutti i segnalatori acustici (campanelli e fischietti) in esso
contenuti. Se non si è responsabili del sistema IDS, assicurarsi di
informare l’amministratore di quella casella o di quelle caselle sulla
scansione che si sta per effettuare.
Oltre all'avvertenza relativa al software IDS, si tenga presente che
verranno mostrate molte scansioni negli archivi storici (log file) per
tutte le categorie. I log Unix, i server web, ecc. illustreranno il
tentativo messo in atto dalla macchina che esegue LANguard Network
Security Scanner. Se non si è l’unico amministratore presso la propria
sede, assicurarsi che gli altri amministratori siano informati delle
scansioni che si stanno per effettuare.
Esecuzione di una scansione
Il primo passo da compiere quando si comincia un controllo della rete,
consiste nell’effettuare una scansione delle macchine e dei dispositivi
di rete correnti.
Per iniziare una nuova scansione della rete, procedere come segue:
1. Fare clic su File > New (File > Nuovo).
2. Selezionare l’oggetto della scansione. Si può scegliere fra le
seguenti opzioni:
a. Scan one Computer (Esegui la scansione di un computer).
Viene eseguita la scansione di una singola macchina.
b. Scan Range of Computers (Esegui la scansione di una
serie di computer). Viene eseguita la scansione di una
serie di IP specificata.
c. Scan List of Computers (Esegui la scansione di un elenco
di computer). Viene eseguita la scansione di un elenco di
Guida introduttiva: esecuzione di un controllo • 13
computer personalizzato. È possibile aggiungere computer
all’elenco selezionandoli da un elenco di computer contati,
immettendoli uno per uno oppure importando l’elenco da
un file di testo.
d. Scan a Domain (Esegui la scansione di un dominio). Viene
eseguita la scansione di un intero dominio di Windows.
e. Scan favorites (Esegui la scansione dei preferiti). Viene
eseguita la scansione di macchine preferite specificate in
precedenza dall’utente utilizzando il pulsante Add to
favorites (Aggiungi a preferiti).
3. Imputare l’intervallo d'inizio e fine della rete di cui effettuare la
scansione in base a ciò che si intende sottoporre a scansione.
4. Selezionare Start Scan (Avvia scansione).
Esecuzione di una scansione
LANguard Network Security Scanner effettua ora una scansione.
Innanzi tutto, individua quali host/computer sono accesi ed effettua la
scansione solo di questi. Ciò avviene utilizzando prove NETBIOS,
interrogativi (query) ping ICMP e SNMP
Se un dispositivo non risponde ad una sua richiesta, GFI LANguard
N.S.S. presume, per il momento, che il dispositivo non esista a tale
indirizzo IP specifico ovvero che sia spento.
Nota: Se si intende forzare una scansione su IP che non rispondono,
consultare il capitolo “Configurazione delle opzioni di scansione” per
ulteriori informazioni sulle modalità di tale configurazione.
14 • Guida introduttiva: esecuzione di un controllo
Analisi dei risultati di scansione
Analisi dei risultati
Dopo la scansione, risultano visualizzati dei nodi sotto ciascuna
macchina trovata da GFI LANguard N.S.S. Il pannello di sinistra
elenca tutte le macchine e i dispositivi di rete. L’espansione di una
voce dell’elenco espone una serie di nodi con le informazioni trovate
su tale macchina o dispositivo di rete. Facendo clic su un dato nodo,
nel pannello di destra vengono visualizzate le informazioni sottoposte
a scansione.
Quando GFI LANguard N.S.S. esegue una prova di rete, trova tutti i
dispositivi di rete accesi in quel momento.
Secondo il tipo di
dispositivo e di interrogativi cui questo ha risposto, viene determinato
il modo in cui GFI LANguard N.S.S. lo identifica e quali informazioni è
in grado di acquisire.
Una volta che GFI LANguard N.S.S. ha terminato la scansione della
macchina, dispositivo o rete, visualizza le seguenti informazioni:
IP, nome della macchina, sistema operativo e livello del
service pack
Viene mostrato l’indirizzo IP della macchina o dispositivo. Viene poi
mostrato il nome del DNS NetBIOS, secondo il tipo di dispositivo.
GFI LANguard N.S.S. indica quale sistema operativo è in esecuzione
sul dispositivo e, se si tratta di Windows NT/2000/XP/2003, indica il
livello di service pack.
Nodo delle vulnerabilità
Il nodo delle vulnerabilità visualizza i problemi di sicurezza individuati
e suggerisce la maniera per risolverli. Queste minacce possono
comprendere patch e service pack mancanti, problemi di HTTP,
messaggi di allerta di NETBIOS, problemi di configurazione e così via.
Le vulnerabilità sono suddivise nelle seguenti sezioni: service pack
mancanti, patch mancanti, vulnerabilità della sicurezza elevate,
vulnerabilità della sicurezza medie e vulnerabilità della sicurezza
basse.
Sotto ciascuna sezione delle vulnerabilità della sicurezza
Elevate/Medie/Basse, si trovano ulteriori categorie dei problemi
individuati, con i seguenti raggruppamenti: abusi CGI, vulnerabilità
FTP, vulnerabilità DNS, vulnerabilità della posta, vulnerabilità RPC,
vulnerabilità di servizio, vulnerabilità del Registro di configurazione del
sistema (Registry) e vulnerabilità varie.
Una volta completata la scansione, cioè dopo che le varie vulnerabilità
risultano elencate, fare doppio clic (o fare clic con il tasto destro del
mouse su > More Details…- Ulteriori dettagli) sulla vulnerabilita
interessata per visualizzare la finestra di dialogo delle sue proprietà.
Da tale finestra di dialogo è possibile indagare immediatamente su
importanti informazioni relative alle ragioni che hanno determinato il
rilevamento della vulnerabilità, come pure su informazioni di accesso
quali una descrizione più approfondita della vulnerabilità che non
viene visualizzata nell’albero dei risultati.
Nella finestra di dialogo delle proprietà della vulnerabilità sono
disponibili le informazioni seguenti:
•
Nome
•
Descrizione sintetica
•
Livello di sicurezza
•
URL
•
Tempo impiegato per eseguire il controllo
•
Controlli (per determinare se la macchina target sia vulnerabile
a tale controllo)
•
Descrizione approfondita
Patch mancanti - GFI LANguard N.S.S. ricerca eventuali patch
mancanti confrontando le patch installate con le patch disponibili di un
determinato prodotto. Se sulla macchina mancano eventuali patch, si
dovrebbe visualizzare una schermata simile alla seguente:
Innanzi tutto, informa per quale prodotto è la patch. Se si espande il
nodo, si potrà visualizzare la patch specifica mancante e un
collegamento al sito da cui scaricare quella particolare path.
Abusi CGI - Descrivono problemi relativi a server Apache, Netscape,
IIS e altri server web.
Le vulnerablità FTP, DNS, di posta, RPC e varie forniscono
collegamenti a Bugtrag ed altri siti per la sicurezza, in modo che sia
possibile cercare ulteriori informazioni sul problema scoperto da GFI
LANguard N.S.S.
Le vulnerabilità di servizio possono essere molte cose.
Praticamente tutto, dai servizi effettivi in esecuzione sul dispositivo in
questione agli account elencati su una macchina che non sia mai
stata usata.
Le vulnerabilità del Registro di configurazione del sistema
(Registry) coprono informazioni tratte da una macchina Windows
quando GFI LANguard N.S.S. effettua la scansione iniziale.
Forniscono un collegamento al sito di Microsoft o ad altri siti dedicati
alla sicurezza, che spiegano perché tali impostazioni del registro di
configurazione del sistema (Registry) devono essere modificate.
Le vulnerabilità d’informazione sono messaggi di allerta aggiunti al
database, e costituiscono dei problemi piuttosto importanti da
sottoporre all'attenzione degli amministratori, ma non sempre sono
dannosi se vengono lasciati in sospeso.
Il nodo delle vulnerabilità potenziali
Il nodo delle vulnerabilità potenziali visualizza problemi di sicurezza
possibili, informazioni cruciali e anche alcuni controlli che non
riportano vulnerabilità. Ad esempio, se non è possibile determinare se
una particolare patch sia installata, questa sarà elencata nel nodo
delle patch non individuabili (Non-detectable patches). Tali
vulnerabilità potenziali devono essere riviste dall’amministratore.
Il nodo delle vulnerabilità potenziali
Condivisioni
Il nodo delle condivisioni elenca tutte le condivisioni presenti su una
macchina e coloro che hanno accesso ad una condivisione. Tutte le
condivisioni di rete devono essere protette in maniera opportuna. Gli
amministratori devono accertarsi che:
1. Nessun utente condivida il proprio drive con altri utenti.
2. Non sia consentito l’accesso anonimo o non autenticato alle
condivisioni.
3. Le cartelle di avvio o i file di sistema simili non siano condivise.
Questo può consentire ad un numero inferiore di utenti privilegiati
di eseguire codici sulle macchine target.
Quanto sopra è molto importante per tutte le macchine, ma, in
particolare, per macchine che sono cruciali per l’integrità del sistema,
quali il Public Domain Controller (PDC - Controllore del dominio
pubblico). Si immagini un amministratore che condivida la cartella di
avvio (o una cartella contenente la cartella di avvio) sul PDC con tutti
gli utenti. In possesso delle giuste autorizzazioni, gli utenti potrebbero
copiare facilmente degli eseguibili nella cartella di avvio, che
verrebbero
eseguiti
al
successivo
accesso
interattivo
dell’amministratore.
Nota: se si effettua la scansione avendo avuto accesso come
amministratore, si possono visualizzare le risorse amministrative
condivise, ad esempio, “C$ - default share”. Tali condivisioni non
saranno disponibili per i normali utenti.
Considerando il modo in cui Klez ed altri nuovi virus cominciano a
propagarsi, cioè tramite l’utilizzo di condivisioni aperte, tutte le
condivisioni non necessarie dovrebbero essere disattivate, mentre
tutte le condivisioni necessarie dovrebbero essere protette da
password.
NOTA: è possibile disabilitare iil rapporto delle risorse amministrative
condivise mediante la modifica dei profili di scansione dal nodo
Configuration > Scanning Profiles > OS Data > Enumerate Shares
(Configurazione > Profili di scansione > Dati del sistema operativo >
Conta condivisioni).
Politica delle password
Questo nodo consente di controllare se la politica delle password è
sicura. Ad esempio, abilita una validità massima per la password e la
cronologia della password. La lunghezza minima della password deve
essere pratica, tipo 8 caratteri. Se si è dotati di Windows 2000, è
possibile abilitare una politica delle password sicura, su tutta la rete,
avvalendosi degli GPO (Group Policy Objects) (Oggetti Criteri di
Gruppo) contenuti in Active Directory.
Registro di configurazione del sistema (Registry)
Questo nodo fornisce informazioni fondamentali sul registro di
configurazione del sistema (Registry) remoto. Fare clic sul nodo Run
(Esegui)
per
controllare
quali
programmi
sono
lanciati
automaticamente all’Avvio.
Controlla che i programmi lanciati automaticamente non siano Trojan
o addirittura programmi validi che forniscano l’accesso remoto ad una
macchina, qualora tale software non sia consentito sulla propria rete.
Qualunque tipo di software per Accesso remoto può rivelarsi una
backdoor, che un hacker potenziale può usare per guadagnare
l’accesso.
NOTA: è possibile modificare e mantenere l’elenco di chiavi e valori
del registro di configurazione del sistema con la modifica del file XML
"toolcfg_regparams.xml",
che
“%LNSS_INSTALL_DIR%\Data.
si
trova
nella
directory
Politica di controllo della sicurezza
Questo nodo mostra quali politiche di controllo della sicurezza sono
attivate sulla macchina remota. Si consiglia l’utilizzo delle seguenti
politiche di controllo:
Politica di controllo
Esito positivo
Esito negativo
Eventi di accesso all’account
Sì
Sì
Gestione dell’account
Sì
Sì
Accesso al servizio di Directory
Sì
Sì
Eventi di accesso
Sì
Sì
Accesso all’oggetto
Sì
Sì
Modifica della politica
Sì
Sì
Utilizzo di privilegi
No
No
Tracciabilità del processo
No
No
Eventi di sistema
Sì
Sì
È possibile abilitare il controllo direttamente da GFI LANguard N.S.S.
Fare clic con il tasto destro del mouse su uno dei computer del
pannello di sinistra e selezionare “Enable auditing” (Abilita il controllo).
Verrà visualizzato il programma di amministrazione guidata della
politica di controllo.
Specificare le politiche di controllo da attivare. Esistono 7 politiche di
controllo della sicurezza in Windows NT e 9 in Windows 2000.
Abilitare le politiche di controllo desiderate sui computer da
monitorare. Fare clic su Next (Avanti) per attivare le politiche di
controllo.
Abilitazione delle politiche di controllo su macchine remote.
Se non si riscontrano errori, viene visualizzata la pagina Finish (Fine).
Se si verifica un errore, allora viene visualizzata un’altra pagina che
indica su quali computer l’applicazione delle politiche ha avuto esito
negativo.
Finestra di dialogo dei risultati del wizard della politica di controllo
Porte aperte
Il nodo delle porte aperte elenca tutte le porte aperte trovate sulla
macchina (tale nodo è denominato scansione delle porte). GFI
LANguard N.S.S. effettua una scansione selettiva delle porte, cioè,
non effettua la scansione di tutte le 65.535 porte TCP e di tutte le
65.535 porte UDP per impostazione predefinita, ma solo delle porte
per le quali è stato configurato. È possibile configurare le porte che
Per ulteriori informazioni, consultare il capitolo “Configurazione delle
opzioni di scansione, configurazione delle porte da sottoporre a
scansione”.
Ogni porta aperta rappresenta un servizio o un’applicazione; se uno di
questi servizi può essere “sfruttato”, l’hacker è in grado di guadagnare
l’accesso a quella macchina. Pertanto, è importante chiudere
eventuali porte non necessarie.
Nota: sulle reti Windows, le porte 135, 139 e 445 sono sempre aperte.
GFI LANguard N.S.S. mostra queste porte come aperte e, se la porta
è considerata una porta Trojan conosciuta, GFI LANguard N.S.S. la
visualizzerà in ROSSO, altrimenti in VERDE. La seguente schermata
consente di vedere quanto sopra descritto:
Nota: anche se una porta è visualizzata in ROSSO come una
possibile porta Trojan, questo non significa che un programma back
door sia in effetti installato sulla macchina. Alcuni programmi validi
usano le stesse porte di alcuni Trojan conosciuti. Un programma
antivirus utilizza la stessa porta conosciuta del virus NetBus
Backdoor. Pertanto, si prega di verificare sempre le informazioni del
banner fornite e di eseguire controlli su tali macchine.
Utenti e Gruppi
Questi nodi mostrano i gruppi e gli utenti locali disponibili sul
computer. Controllano la presenza di ulteriori utenti e verificano che
l’account Guest (Ospite) sia disabilitato. Utenti e gruppi pericolosi
possono consentire l’accesso a back door!
Alcuni programmi back door abilitano nuovamente l’account Guest
(Ospite) e gli attribuiscono diritti amministrativi; pertanto, si prega di
controllare i dettagli del nodo degli utenti per vedere l’attività di tutti gli
account e i relativi diritti.
Idealmente, l’utente non dovrebbe utilizzare un account locale per
l’accesso, ma dovrebbe effettuare il login ad un Dominio o ad un
account di Active Directory.
L’ultima cosa importante da controllare è di assicurarsi che la
password non sia troppo vecchia.
Utenti collegati
Questo nodo visualizza l’elenco di utenti collegati in quell momento
alla macchina target. L’elenco è suddiviso in due sezioni:
Locally logged On User (Utenti collegati localmente)
Questa categoria comprende tutti gli utenti che hanno avviato una
sessione a livello locale. Essa visualizza le seguenti informazioni su
ciascun utente collegato, laddove esse siano disponibili:
1. data e ora di accesso
2. tempo trascorso
Remote Logged On Users (Utenti collegati in remoto)
Questa categoria comprende tutti gli utenti che hanno avviato una
sessione sulla macchina target in modalità remota. Essa visualizza le
seguenti informazioni su ciascun utente collegato, laddove esse siano
disponibili:
1. data e ora di accesso
2. tempo trascorso
3. periodo di inattività
4. tipo di client
5. trasporto
Information fields legend: (Legenda dei campi di informazione)
Data e ora di accesso indicano la data e l’ora in cui l’utente si è
collegato sulla machine target. Questo campo è valido per le
connessioni sia locali sia remote.
Tempo trascorso: indica il periodo di tempo in cui l’utente è stato
collegato alla macchina. Questo campo è valido per le connessioni
sia locali sia remote.
Periodo di inattività: indica il periodo di inattività della conessione
dell’utente. Il periodo di inattività si riferisce alla completa inattività
dell’utente o della connessione. Questo campo è valido unicamente
per le connessioni remote.
Tipo di client: indica la piattaforma utilizzata dall’utente per effettuare
la connessione remota. In generale si riferisce al sistema operative
installato sulla macchina che ha iniziato la connessione. Questo
campo è valido unicamente per le connessioni remote.
Trasporto: indica il tipo di servizio utilizzato per iniziare la
connessione. Questo campo è valido unicamente per le connessioni
remote.
Servizi
Vengono elencati tutti i servizi presenti sulla macchina. Verificare i
servizi in esecuzione da abilitare e disabilitare tutti i servizi che non
sono richiesti. Si tenga presente che ciascun servizio può costituire
potenzialmente un rischio per la sicurezza e anche una falla nel
sistema. Con la chiusura o la disattivazione di servizi non necessari, i
rischi per la sicurezza si riducono automaticamente.
Stato dell’applicazione delle patch del sistema
Questo nodo mostra quali patch sono installate e registrate sulla
macchina remota.
Dispositivi di rete
Questo nodo mostra un elenco di tutti i dispositivi di rete installati sul
sistema. I dispositivi sono classificati come segue:
•
Dispositivi fisici - cablati
•
Dispositivi fisici - wireless
•
Dispositivi virtuali
Dispositivi di rete individuati
Per ogni dispositivo vengono riportate le seguenti proprietà (laddove
disponibili):
•
Indirizzo MAC
•
Indirizzo/i IP assegnato/i
•
Nome dell’host
•
Dominio
•
Dati DHCP
•
WEP (Wireless Encryption Protocol) (laddove disponibile)
•
SSID (Service Set Identification) (laddove disponibile)
•
Gateway
•
Stato
NOTA: controllare con regolarità i dispositivi di rete. Dispostivi
wireless pericolosi possono essere utilizzati per compromettere la
sicurezza della rete sia all’interno sia all’esterno della sede aziendale.
Dispositivi USB
Questo nodo elenca tutti i dispositivi USB collegati al computer target
in quel momento. Utilizzare questo nodo per verificare che non sia
collegato alcun dispositivo non autorizzato. I dispositivi di memoria
rimovibili costituiscono un notevole rischio per la sicurezza della rete.
Pertanto, cercare di stare molto attenti a questi dispositivi. Un altro
grosso rischio per la sicurezza da verificare è dato dagli adattatori
wireless USB, quali i dongle Bluetooth, in grado di permettere agli
utenti di trasferire file non autorizzati tra le loro stazioni di lavoro e
dispositivi personali come cellulari, palmari e dispositivi abilitati con
Bluetooth.
Elenco di dispositivi USB rilevati sul computer target
NOTA: è possible configurare GFI LANguard N.S.S. affinché riporti
come “vulnerabilità critica” i dispositivi USB non autorizzati (ad
esempio, "USB Mass Storage Device" - “Dispositivo di memoria di
massa USB”). È possibile configurare quali dispositivi GFI LANguard
N.S.S. deve riportare come vulnerabilità critica dal nodo Configuration
> Scanning Profiles > Devices > USB Devices (Configurazione >
Profili di scansione > Dispositivi > Dispositivi USB).
Dispositivi USB pericolosi elencati come Vulnerabilità critica
Risultati supplementari
Questa sezione elenca i nodi e i risultati supplementari che è possibile
controllare dopo aver effettuato la revisione dei risultati di scansione
più importanti menzionati in precedenza.
Nomi NETBIOS
In questo nodo si trovano i dettagli dei servizi installati sulla macchina.
Computer
MAC – Si tratta dell’indirizzo MAC della scheda di Rete.
Nome utente – Si tratta del nome utente dell’utente collegato in quel
momento o del nome utente della macchina.
TTL – Il valore di Time to Live (TTL) (Durata in vita) è specifico per
ogni dispositivo. I valori principali sono 32, 64, 128 e 255. Sulla base
di questi valori e del TTL effettivo del pacchetto, si ha un’idea della
distanza (numero di router hop - salti) tra la macchina GFI LANguard
N.S.S. e la macchina target che è stata appena sottoposta a
scansione.
Utilizzo del computer – Informa se la macchina target è una
Stazione di lavoro o un Server.
Dominio – Se la macchina target fa parte di un dominio, questo
fornirà un elenco dei Domini fidati.
Se non fa parte di un Dominio, verrà visualizzata la stazione di lavoro
di cui la macchina fa parte.
Gestore LAN – Indica Gestore LAN in uso (e il sistema operativo).
Sessioni
Questo nodo visualizza l’indirizzo IP di macchine che erano collegate
alla macchina target all’epoca della scansione. Nella maggioranza dei
casi, tale indirizzo è proprio quello della macchina che esegue
LANguard N.S.S. e che ha effettuato delle connessioni di recente.
Nota: a causa del costante cambiamento di questo valore, tale dato
non è salvato nel rapporto, ma è presente unicamente a fini
informativi.
Dispositivi di rete
Questo nodo fornisce un elenco di dispositivi di rete disponibili sulla
macchina target.
Indicazione oraria (TOD) remota
Indicazione oraria remota. Si tratta dell’orario della rete sulla macchina
target, di solito impostato dal Controllore di dominio.
Esecuzione di scansioni In sede (On site) o Fuori sede (Off site)
Si consiglia di eseguire GFI LANguard N.S.S. in due modi, le
cosiddette scansioni In sede e Fuori sede.
Scansione In sede (On site)
Impostare una macchina su cui sia installato LANguard Network
Security Scanner. Effettuare una scansione della rete con una “NULL
session” (Sessione NULLA) (Selezionare “Null Session” (Sessione
nulla) dall’elenco a discesa).
Una volta effettuata la prima scansione, cambiare il valore della
casella dell’elenco a discesa in Currently logged on user (Utente
attualmente collegato) (se si dispone di diritti amministrativi al
dominio) oppure in Alternative credentials (Credenziali alternative)
che dispongano di diritti amministrativi al Dominio o all’Active
Directory.
Salvare questa seconda scansione per confronti futuri.
Con l’opzione “NULL session” (Sessione NULLA), è possibile
visualizzare ciò che appare a qualsiasi utente che si stia collegando
alla rete tramite una connessione “NULLA”. La scansione munita di
diritti amministrativi aiuta a mostrare tutti gli hotfix e le patch mancanti
sulla macchina.
Scansione Fuori sede (Off Site)
Se si è dotati di un account di linea commutata esterno oppure di un
accesso ad Internet ad alta velocità non legati all’azienda, si vorrà
effettuare la scansione della propria rete dal “mondo esterno”.
Effettuare una scansione della rete mediante una “NULL session”
(Sessione NULLA). Ciò consente di visualizzare ciò che chiunque
vedrebbe da Internet se o quando dovesse effettuare la scansione
della rete. Elementi che possono influire su tale scansione sono gli
eventuali firewall installati dalla propria azienda o dal proprio ISP,
ovvero eventuali regole di un instradatore (router) che potrebbe non
trasferire determinati tipi di pacchetti.
Salvare questa scansione per confronti futuri.
Confronto fra scansioni on site e off site
È ora il momento di dare un’occhiata alle informazioni generate da
LANguard Network Security Scanner.
Se la scansione di “NULL session” effettuata dalla rete interna sembra
identica a quella esterna, forse non esistono firewall o dispositivi di
filtraggio sulla propria rete. Si tratta probabilmente di una delle prime
cose da esaminare.
Quindi, verificare ciò che eventuali utenti dal mondo esterno possono
effettivamente visualizzare. Possono visualizzare i controllori di
dominio ed ottenere un elenco di tutti gli account del computer?
E per quanto riguarda i server Web, FTP, ecc.?
A questo punto, bisogna “cavarsela da soli”. Si può cominciare
controllando le patch per server Web, FTP, ecc. Si può inoltre
verificare e modificare le impostazioni sui server SMTP. Ogni rete è
diversa. GFI LANguard N.S.S. cerca di aiutare l’utente a individuare
con esattezza i problemi della sicurezza e di condurlo su siti che
aiutano a riparare le falle individuate.
Se si scopre che sono in esecuzione servizi non richiesti, assicurarsi
di disattivarli. Ogni servizio costituisce un possibile rischio per la
sicurezza, che potrebbe permettere a soggetti non autorizzati di
penetrare nella propria rete. Ogni giorno vengono rilasciati nuovi
buffer overflow ed exploit e, anche se la rete sembra ed è sicura oggi,
ciò non significa che lo sarà domani.
Assicurarsi di effettuare scansioni per la sicurezza di tanto in tanto.
Non si tratta di qualcosa da fare una volta e poi dimenticarsene. C’è
sempre qualcosa di nuovo là fuori e, di nuovo, solo perché si è sicuri
oggi, non si sa mai cosa saranno in grado di escogitare gli hacker
domani.
Salvataggio e caricamento dei risultati
di scansione
Introduzione
Una volta completata una scansione della sicurezza, GFI LANguard
N.S.S. salva automaticamente i risultati ne suo terminale database
(MS Access/MS SQL Server).
È inoltre possible salvare i risultati di scansione in un file XML esterno.
I risultati di scansione salvati possono essere ricaricati nell’interfaccia
utente di GFI LANguard N.S.S. per elaborazioni ulteriori o confronti fra
risultati. Il caricamento dei risultati di scansione salvati è molto utile
quando si devono eseguire rapporti o impiegare patch su un sistema
invariato che non richiede di dover essere nuovamente sottoposto a
scansione.
Salvataggio dei risultati di scansioni in un file esterno
Una volta completata una scansione della sicurezza d parte di GFI
LANguard N.S.S., i risultati sono già stati salvati nel terminale
database. Per salvarli in un file esterno, procedere come segue:
•
Aprire File > Save scan results… (File > Salva risultati di
scansione…)
•
Accettare il nome file predefinito o specificarne uno diverso.
•
Fare clic su Save… (Salva…)
Caricamento dei risultati di scansione salvati
Caricamento delle scansioni salvate dal database
LNSS archivia nel database le ultime 30 scansioni effettuate sullo
stesso target con il medesimo profolo.
Per ricaricare un file di risultati di scansione salvato dal database,
procedere come segue:
1. Fare clic con il tasto destro del mouse su GFI LANguard N.S.S. >
Security Scanner (GFI LANguard N.S.S. > Scanner di sicurezza)
2. Load saved scan results from… > Database (Carica i risultati di
scansione salvati da… > Database). Viene visualizzata la finestra
di dialogo “Select scan result” (Seleziona i risultati di scansione).
3. Seleziona dall’elenco la scansione da ricaricare.
4. Fare clic su OK.
Salvataggio e caricamento dei risultati di scansione • 29
Risultati di scansione salvati ricaricati nell’interfaccia utente principale.
Caricamento di scansioni salvate da un file esterno
Per ricaricare un file di risultati di scansione salvato da un file esterno,
1. Fare clic con il tasto destro del mouse su GFI LANguard N.S.S. >
Security Scanner (GFI LANguard N.S.S. > Scanner di sicurezza)
2. Load saved scan results from… > XML (Carica i risultati di
scansione salvati da… > XML). Viene visualizzata la finestra di
dialogo “Select scan result” (Seleziona i risultati di scansione).
3. Selezionare la scansione da ricaricare.
4. Fare clic su OK.
30 • Salvataggio e caricamento dei risultati di scansione
Risultati della scansione filtrata
Introduzione
Dopo aver effettuato una scansione, GFI LANguard N.S.S. riporta i
risultati nel pannello “Scan results” (Risultati della scansione). Se si è
effettuata la scansione di molte macchine, si potrebbe voler filtrare
quei dati dal nodo “Scan filtrers” (Filtri di scansione). Facendo clic su
questo nodo e selezionando un filtro esistente, vengono visualizzati i
risultati della scansione in base al filtro selezionato. GFI LANguard
N.S.S. è munito di un certo numero di filtri di scansione predefiniti.
Inoltre, è possibile creare filtri di scansione personalizzati.
Filtri di scansione
I filtri di scansione seguenti sono inclusi per impostazione predefinita:
Full report: (Rapporto completo): mostra tutti i dati relativi alla
sicurezza raccolti durante una scansione.
Vulnerabilities [High Security] (Vulnerabilità [Sicurezza alta]):
mostra i problemi che richiedono attenzione immediata: service pack e
patch mancanti, vulnerabilità della sicurezza alte e porte aperte.
Vulnerabilities [Medium Security] (Vulnerabilità [Sicurezza
media]): mostra i problemi che devono essere trattati
dall’amministratore: vulnerabilità della sicurezza medie, patch che non
possono essere individuate.
Vulnerabilities[All] (Vulnerabilità [Tutte]): mostra tutte le
vulnerabilità individuate: patch e service pack mancanti, possibili
Risultati della scansione filtrata • 31
controlli delle informazioni, patch che non è stato possibile individuare,
vulnerabilità della sicurezza alte e basse.
Missing patches and service packs (Patch e service pack
mancanti): elenca tutti i service pack e i file patch mancanti delle
macchine sottoposte a scansione.
Important devices – USB (Dispositivi importanti: USB): elenca tutti
i dispositivi USB collegati ai target di scansione.
Important devices – Wireless (Dispositivi importanti: wireless):
elenca tutte le schede di rete wireless (sia PCI sia USB) collegate ai
target di scansione.
Open Ports (Porte aperte): elenca tutte le porte TCP e UDP aperte.
Open Shares (Condivisioni aperte): elenca tutte le condivisioni
aperte e coloro che vi possono accedere.
Auditing Policies (Politiche di controllo): elenca le impostazioni
della politica di controllo su ogni computer sottoposto a scansione.
Password Policies (Politiche delle password): elenca le politiche
delle password attive su ogni computer sottoposto a scansione.
Groups and users (Gruppi e utenti): elenca gli utenti e gruppi
individuati su ogni computer sottoposto a scansione.
Computer properties (Proprietà del computer): mostra le proprietà
di ciascun computer.
Selezione del file source dei risultati della scansione
Per impostazione predefinita, i filtri funzionano sui dati di scansione
correnti. Tuttavia, è possibile selezionare un file source di dati ‘”scan
results” (risultati della scansione) diverso ed applicare i filtri al file
source di risultati della scansione salvato (un file XML o un database).
Per farlo, procedere come segue:
1. Aprire il nodo “Security Scanner” (Scanner di sicurezza) del
programma dello scanner per la sicurezza GFI LANguard N.S.S.
2. Fare clic con il tasto destro del mouse e selezionare “Load saved
scan results from…” (Carica i risultati di scansione salvati da…)
3. Selezionare le sorgenti di dati che contengono i risultati sui quali si
desidera eseguire il filtro.
4. Selezionare la voce di database o il file XML che contengono i dati
dei risultati di scansione richiesti.
5. Fare clic su OK. In questo modo, i risultati della scansione salvati
vengono ricaricati nell’interfaccia utente dei risultati del Security
Scanner (scanner di sicurezza).
6. Tutti i filtri riportano ora i dati del file dei risultati della scansione
caricato.
Creazione di un filtro di scansione personalizzato
Per creare un filtro di scansione personalizzato, procedere come
segue:
1. Fare clic con il tasto destro del mouse sul nodo “GFI LANguard
N.S.S. > Security scanner > Scan Filters…” (GFI LANguard N.S.S. >
32 • Risultati della scansione filtrata
Scanner di sicurezza > Filtri di scansione…) e selezionare New >
Filter… (Nuovo > Filtro…)
2. Viene visualizzata la finestra di dialogo “Scan Filter Properties”
(Proprietà dei filtri di scansione).
Filtri di scansione – Pagina generale
3. Assegnare un nome al filtro di scansione
4. Aggiungere eventuali condizioni di filtraggio da applicare ai dati dei
risultati di scansione mediante il pulsante “Add…” (Aggiungi…). È
possibile creare più condizioni per il filtro. Per ogni condizione, si deve
specificare la proprietà, la condizione ed il valore. Proprietà disponibili
sono costituite da sistema operativo, nome dell’host, utente collegato,
dominio, service pack, condivisione, ecc.).
Finestra di dialogo delle condizioni
5. Selezionare quali categorie di informazioni si desidera visualizzare
nel filtro dalla pagina “Report items” (Elementi del rapporto).
6. Fare clic su OK per creare il filtro.
34 • Risultati della scansione filtrata
Filtri di scansione – Pagina degli elementi del rapporto
Tale procedura crea un nuovo nodo permanente sotto il nodo “Scan
Filters” (Filtri di scansione).
NOTA: è possibile eliminare/personalizzare eventuali filtri sotto il nodo
“Scan Filters” (Filtri di scansione) facendo clic con il tasto destro del
mouse
sul
filtro
e
selezionando
“Delete…/Properties”
(Elimina…/Proprietà), a seconda dell’operazione che si vuole
eseguire.
Esempio 1 – Trovare computer con una determinata patch
mancante
Si desidera trovare tutti i computer Windows privi della patch MS03026 (si tratta della patch del famoso virus blaster).
Definire il filtro come segue:
1. Condizione 1: il sistema operativo comprende Windows
2. Condizione 2: l’hotfix (la patch) non è installato MS03-026
Esempio 2 – Elencare tutte le stazioni Sun con un server web
Per elencare tutte le stazioni Sun che operano un server web sulla
porta 80, definire i query seguenti:
1. il sistema operativo comprende SunOS
2. la porta TCP è aperta 80
Configurazione di GFI LANguard N.S.S.
Introduzione alla configurazione di GFI LANguard N.S.S.
È possibile configurare GFI LANguard N.S.S. dal nodo di
configurazione. Da questo nodo si possono configurare opzioni di
scansione, profili di scansione, scansioni pianificate, opzioni di allerta
e molto altro.
Profili di scansione
Profili di scansione
Mediante i profili di scansione, è possibile configurare diversi tipi di
scansione ed usare tali scansioni per concentrarsi su particolari tipi di
informazioni che si vogliono controllare.
Si crea un profilo di scansione facendo clic con il tasto destro del
mouse sul nodo “Configuration > Scanning profiles” (Configurazione >
Profili di scansione) e selezionando “New > Scan Profile…” (Nuovo >
Profilo di scansione…)
Per ogni profilo si possono impostare le seguenti opzioni:
1. Porte TCP sottoposte a scansione
2. Porte UDP sottoposte a scansione
3. Dati del sistema operativo sottoposto a scansione
4. Vulnerabilità sottoposte a scansione
Configurazione di GFI LANguard N.S.S. • 37
5. Patch sottoposte a scansione
6. Proprietà dello scanner
7. Dispositivi
Porte TCP/UDP sottoposte a scansione
Le schede delle porte TCP/UDP sottoposte a scansione consentono
di specificare per quali porte TCP e UDP si desidera effettuare la
scansione. Per abilitare una porta basta fare semplicemente clic sulla
casella di spunta situata accanto alla porta.
Configurazione delle porte da sottoporre a scansione in un profilo
Come aggiungere/modificare/rimuovere delle porte
Se si vogliono aggiungere porte TCP/UDP personalizzate, fare clic sul
pulsante “Add” (Aggiungi). Viene visualizzata la finestra di dialogo
“Aggiungi” della porta.
38 • Configurazione di GFI LANguard N.S.S.
Schermata 1 – Aggiunta di una porta
Immettere il numero della porta o un intervallo di porte ed inserire una
descrizione del programma che dovrebbe funzionare su quella porta.
Se il programma associato alla porta è un Trojan, fare clic sulla
casella di spunta “Is a Trojan port” (È una porta Trojan).
Se si specifica che si tratta di una porta Trojan, il cerchio verde/rosso
accanto alla porta sarà rosso
Nota: assicurarsi di inserire la porta nel Protocollo Window corretto,
TCP o UDP.
È possibile modificare o rimuovere delle porte facendo clic sui pulsanti
“Edit” (Modifica) o “Remove” (Elimina)
Dati del sistema operativo sottoposto a scansione
La scheda dei dati del sistema operativo sottoposto a scansione
specifica il tipo di informazioni che GFI LANguard N.S.S. deve
raccogliere dal sistema operativo durante la scansione. Attualmente,
sono supportati solo i dati del sistema operativo Windows, tuttavia
sono in fase di sviluppo i dati di scansione per Unix.
Vulnerabilità sottoposte a scansione
Configurazione delle vulnerabilità da sottoporre a scansione
La scheda delle vulnerabilità sottoposte a scansione elenca tutte le
vulnerabilità che GFI LANguard N.S.S. può sottoporre a scansione. È
possibile disabilitare il controllo di tutte le vulnerabilità deselezionando
la casella di spunta “Check for vulnerabilities” (Ricerca le
vulnerabilità).
Per impostazione predefinita, GFI LANguard N.S.S. effettua la
scansione di tutte le vulnerabilità a lui note. È possibile modificare tale
impostazione eliminando la casella di spunta situata accanto ad una
vulnerabilità specifica.
Dal pannello di destra, è possibile modificare le opzioni di una
determinata vulnerabilità facendo doppio clic su di essa. È possibile
modificare il livello di sicurezza di un particolare controllo della
vulnerabilità dall’opzione “Security Level” (Livello di sicurezza).
Tipi di vulnerabilità
Le vulnerabilità sono suddivise nelle seguenti sezioni:
patch
mancanti, patch che non possono essere individuate, abusi CGI,
vulnerabilità FTP, vulnerabilità DNS, vulnerabilità di posta,
vulnerabilità RPC, vulnerabilità di servizio, vulnerabilità del registro di
configurazione del sistema (Registry) e vulnerabilità varie.
Opzioni avanzate di controlli di vulnerabilità
Fare clic sul pulsante “Advanced” (Opzioni avanzate) per accedere a
tali opzioni.
•
Controlli interni – Includono controlli di password FTP anonime,
di password deboli, ecc.
•
Scansione CGI – Avviare la scansione CGI se sono in esecuzione
server web che utilizzano CGI. In via facoltativa, è possibile
specificare un server proxy se si è localizzati dietro un server
proxy.
•
Le nuove vulnerabilità sono abilitate per impostazione
predefinita – Tale opzione abilita/disabilita le vulnerabilità
aggiunte di recente da includere nelle scansioni di tutti gli altri
profili.
Scaricamento delle vulnerabilità della sicurezza più recenti
Per aggiornare le Vulnerabilità della sicurezza, selezionare “Help >
Check for updates” (Guida in linea > Ricerca aggiornamenti) dal
programma dello scanner GFI LANguard N.S.S. Quest’ulltimo
scaricherà le vulnerabilità della sicurezza più recenti dal sito Web di
GFI. Inoltre, il programma aggiornerà i file fingerprint (impronte digitali)
utilizzati per determinare quale sistema operativo risiede sul
dispositivo.
NOTA:
all’avvio,
GFI
LANguard
N.S.S.
può
scaricare
automaticamente nuovi controlli di vulnerabilità dal sito Web di GFI. È
possibile configurare quest’opzione dal nodo “GFI LANguard N.S.S. >
General > Product Updates” (GFI LANguard N.S.S. > Generale >
Aggiornamenti del prodotto).
Patch sottoposte a scansione
Configurazione delle patch da ricercare quando si effettua la scansione con un particolare
profilo.
La scheda delle patch sottoposte a scansione consente di configurare
se quel particolare profilo di scansione deve ricercare patch e/o
service pack mancanti.
La scheda elenca tutte le patch cercate da GFI LANguard N.S.S. È
possibile disabilitare la ricerca di determinate patch per questo profilo
deselezionando la casella di spunta accanto al bollettino delle patch.
L’elenco delle patch si ottiene scaricando l’elenco di patch più recente
dal sito Web di GFI, che a sua volta lo ottiene da Microsoft
(mssecure.xml). GFI ottiene l’elenco delle patch di Microsoft e ne
controlla la correttezza, poiché a volte contiene degli errori.
Espansione delle informazioni del bollettino
Per ulteriori informazioni su un determinato bollettino, fare doppio clic
su uno dei bollettini oppure fare clic con il tasto destro del mouse su di
esso e selezionare “Proprieties” (Proprietà). Vengono visualizzati
ulteriori dettagli su ciò che il bollettino controlla e ciò a cui si rivolge.
Opzioni dello scanner
In questa scheda è possibile configurare le opzioni relative alle
modalità con le quali GFI LANguard N.S.S. deve effettuare una
scansione.
Proprietà dello scanner di sicurezza
Metodi di scoperta sulla rete
Questa sezione è dedicata ai metodi che GFI LANguard N.S.S. deve
utilizzare per scoprire macchine sulla rete.
L’opzione “NETBIOS queries” (Interrogazioni NETBIOS) consente
l’utilizzo delle interrogazioni (query) NetBIOS o SMB. Se sulla
Macchina Windows è installato il Client per le reti Microsoft o se su
una macchina Unix sono installati i servizi Samba, allora tali macchine
risponderanno ad interrogazioni di tipo NetBIOS.
È possibile aggiungere un parametro “ScopeID” all’interrogazione
NetBIOS. È richiesto solo in alcuni casi, in cui i sistemi sono dotati di
uno ScopeID. Se la propria azienda è dotata di un parametro
ScopeID impostato su NetBIOS, inserirlo in questo punto.
L’opzione “SNMP queries” (Interrogazioni SNMP) consente di
spedire pacchetti SNMP con la Community String impostata nella
scheda “General” (Generale).
Se il dispositivo risponde
all’interrogazione, GFI LANguard N.S.S. gli richiede l’identificatore
dell’oggetto (Object Identifier) e lo confronta con un database per
determinare di quale dispositivo si tratta.
L’opzione Ping Sweep effettua un ping ICMP di ciascun dispositivo di
rete (si veda la Nota: di seguito).
L’opzione Custom TCP Port Discovery (Personalizza la scoperta
di porte TCP) ricerca una determinata porta aperta sulle macchine
target.
Nota: ciascun tipo di interrogazione summenzionato può essere
disattivato, ma GFI LANguard N.S.S. dipende da tutte queste
interrogazioni per determinare il tipo di dispositivo e il sistema
operativo residente su di esso. Se si sceglie di disattivare una di
queste interrogazioni, GFI LANguard N.S.S. può non essere affidabile
nella sua identificazione.
Nota: alcuni firewall personali bloccano una macchina persino
nell’inviare un echo ICMP e, pertanto, non viene individuato da GFI
LANguard N.S.S. Se si ritiene che esistano molte macchine con
firewall personali nella propria rete, si prenda in considerazione la
possibilità di effettuare una scansione forzata di ciascun IP della rete.
Opzioni di scoperta della rete
I parametri di scoperta della rete consentono di regolare il rilevamento
delle macchine, in modo da ottenere la migliore individuazione delle
macchine nel minor tempo possibile. I parametri di regolazione
comprendono:
•
“Scanning Delay” (Ritardo di scansione). È il tempo atteso da
LANguard N.S.S. fra l’invio di un pacchetto TCP/UDP e l’altro. Il
valore predefinito è pari a 100ms. In base alla connessione e al
tipo di rete di cui si dispone (LAN/WAN/MAN), può essere
necessario rettificare tali impostazioni. Se l’impostazione è troppo
bassa, la rete può risultare congestionata da pacchetti inviati da
GFI LANguard N.S.S. Se invece l’impostazione è troppo alta, verrà
sprecato molto tempo inutilmente.
•
Wait for Responses (Attendi la risposta). É il tempo atteso
effettivamente da GFI LANguard N.S.S. per ottenere una risposta
dal dispositivo. Se si opera su una rete lenta o occupata, può
essere necessario incrementare questa caratteristica di scadenza
da 500ms ad un valore più elevato.
•
Number of retries (Numero di tentativi). È il numero di volte che
GFI LANguard N.S.S. effettuerà ciascun tipo di scansione. In
circostanze normali, quest’impostazione non deve essere
modificata. Tuttavia, se si dovesse modificare tale impostazione,
essa verrà eseguita quel dato numero di volte in tutti i tipi di
scansione (NETBIOS, SNMP e ICMP).
•
L’opzione Include non-responsive computers (Includi
computer che non rispondono) dà istruzione allo scanner per la
sicurezza GFI LANguard N.S.S. di tentare di effettuare la
scansione di una macchina che non abbia risposto ad alcun
metodo di scoperta della rete.
Opzioni di interrogazioni NetBIOS
L’effetto di utilizzare uno Scope ID di NetBIOS è quello di isolare un
gruppo di computer sulla rete in grado di comunicare soltanto con altri
computer configurati con un identico Scope ID di NetBIOS.
I programmi NetBIOS avviati su un computer che utilizza Scope ID di
NetBIOS non sono in grado di “vedere” (ricevere o inviare messaggi)
programmi NetBIOS avviati da un processo su un computer
configurato con uno Scope ID di NetBIOS diverso.
GFI LNSS supporta Scope ID di NETBIOS per poter effettuare la
scansione di questi computer isolati che, diversamente, sarebbero
inaccessibili.
Opzioni di interrogazioni SNMP
L’opzione Load SNMP enterprise numbers (Carica i numeri
aziendali SNMP) consente a GFI LANguard N.S.S. di estendere il
supporto in scansioni SNMP. Se disabilitata, i dispositivi scoperti da
SNMP sconosciuti a GFI LANguard N.S.S. non riportano qual è il
presunto distributore. A meno che non si sperimentino dei problemi,
si consiglia di lasciare abilitata quest’opzione.
Per impostazione predefinita, la maggior parte dei dispositivi SNMP
abilitati utilizza la community string “pubblica” predefinita, ma, per
motivi di sicurezza, gran parte degli amministratori la cambia in
qualcos’altro. Se non si è modificato il nome della community SNMP
predefinito sui dispositivi di rete, si vorrà aggiungerlo all’elenco
utilizzato da GFI LANguard N.S.S.
Nota: in questo punto è possibile aggiungere più di un nome di
community SNMP. Per ogni nome di community aggiunto, la parte
SNMP della scansione deve essere eseguita un’altra volta. Se, nella
stringa del nome della community, si è impostato “pubblica” e
“privata”, la scansione SNMP verrà effettuata due volte sull’intero
intervallo di IP impostato. Una volta con la stringa “pubblica” e la
seconda con la stringa “privata”.
Opzioni delle finestre di attività dello scanner
Le opzioni di uscita consentono di configurare quali informazioni
devono essere visualizzate nel pannello di attività dello scanner. È
utile abilitarle; tuttavia, si consiglia di abilitare “Verbose” (Verboso) o
“Display packets” (Visualizza i pacchetti) solo a fini di eliminazioni di
errori (debugging) straordinarie.
Dispositivi
In questa scheda è possibile configurare le modalità di reazione di
LANguard N.S.S. quando rileva un determinato dispositivo di rete o
USB. Si può configurare GFI LANguard N.S.S. in modo da essere
informati, a mezzo avviso di vulnerabilità critico, quando viene rilevato
un particolare dispositivo ovvero in modo che ignori determinati
dispositivi, quali tastiere e mouse di tipo USB.
Dispositivi di rete
Ogni dispositivo di rete acquisito riporta un nome visualizzato. Se il
nome del dispositivo individuato contiene una qualsiasi voce di stringa
nella sezione elenco “Create a high security vulnerability for
network devices whose name contains:” (“Crea una vulnerabilità
di sicurezza elevata per dispositivi di rete il cui nome contenga:”)
(uno per rigo), viene generata una vulnerabilità di sicurezza elevata,
che è presentata al computer sul quale il dispositivo è stato rilevato.
Dispositivo di rete – Configurazione di un nome di dispositivo pericoloso.
NOTA: gli elenchi sono configurati in base a un profilo, pertanto è
possibile personalizzare i requisiti di scansione basandoli sul tipo di
scansione di sicurezza che si sta effettuando.
Vulnerabilità di sicurezza elevata creata per il dispositivo di rete identificato come pericoloso.
NOTA: d’altra parte, se si desidera essere informati o ricevere un
avviso sulla presenza di dispositivi ritenuti sicuri, inserire il nome del
dispositivo nella sezione elenco “Ignore (Do not list/save to db)
devices whose name contains:” (Ignora (Non elencare/salvare
dul database) dispositivi il cui nome contenga:”). Quando GFI
LANguard N.S.S incontra un dispositivo con tali proprietà, lo ignora e
non lo salva/visualizza nei risultati di scansione.
Dispositivi USB
Ogni dispositivo USB acquisito riporta un nome visualizzato. Se il
nome del dispositivo individuato contiene una qualsiasi voce di stringa
nella sezione elenco “Create a high security vulnerability for USB
devices whose name contains:” (“Crea una vulnerabilità di
sicurezza elevata per dispositivi USB il cui nome contenga:”)
(uno per rigo), viene generata una vulnerabilità di sicurezza elevata,
che è presentata al computer sul quale il dispositivo è stato rilevato.
Dispositivo USB – Configurazione di un nome di dispositivo pericoloso.
NOTA: gli elenchi sono configurati in base a un profilo, pertanto è
possibile personalizzare i requisiti di scansione basandoli sul tipo di
scansione di sicurezza che si sta effettuando.
Vulnerabilità di sicurezza elevata creata per il dispositivo USB identificato come pericoloso.
NOTA: d’altra parte, se si desidera essere informati o ricevere un
avviso sulla presenza di dispositivi ritenuti sicuri, inserire il nome del
dispositivo nella sezione elenco “Ignore (Do not list/save to db)
devices whose name contains:” (Ignora (Non elencare/salvare dul
database) dispositivi il cui nome contenga:”). Quando GFI LANguard
N.S.S incontra un dispositivo con tali proprietà, lo ignora e non lo
salva/visualizza nei risultati di scansione.
Scansioni pianificate
La caratteristica delle scansioni pianificate consente di configurare le
scansioni che devono essere eseguite automaticamente ad una
determinata data/ora. Le scansioni pianificate possono inoltre essere
effettuate periodicamente. Questa opzione consente di eseguire una
particolare scansione durante la notte o di primo mattino e può,
inoltre, essere utilizzata congiuntamente alla caratteristica del
confronto dei risultati, permettendo di ricevere automaticamente un
“change report” (rapporto delle variazioni) nella propria casella di
posta.
Per impostazione predefinita, tutte le scansioni pianificate sono
memorizzate nel database. In via facoltativa, è possibile salvare tutti i
risultati delle scansioni pianificate in un file XML (uno per ogni
scansione pianificata). Il salvataggio può essere effettuato facendo
clic con il tasto destro del mouse sul nodo Scheduled Scan
(Scansione pianificata), selezionando Properties (Proprietà),
abilitando l’opzione Save Scheduled Scan (Salva la scansione
pianificata) e specificando un percorso per i file XML.
Configurazione di una scansione pianificata
Per creare una scansione pianificata, procedere come segue:
1. Nel programma dello scanner di sicurezza GFI LANguard N.S.S.,
fare clic con il tasto destro del mouse su Configuration >
Scheduled scans > New > Scheduled scan… (Configurazione >
Scansioni pianificate > Nuova > scansione pianificata…)
2. Viene visualizzata la finestra di dialogo New Scheduled Scan
(Nuova scansione pianificata)
Creazione di una nuova scansione pianificata
Nella finestra di dialogo “Nuova scansione pianificata”, è possibile
configurare quanto segue:
1. Scan targe’ (Oggetto della scansione): specificare i nomi dei
computer o l’intervallo di IP di cui si desidera effettuare la
scansione. È possibile specificare l’oggetto della scansione come
segue:
i. Host name (Nome dell’host) – ad esempio, ANDREMDEV
ii. indirizzo IP - ad esempio, 192.168.100.9
iii. intervallo di indirizzi IP – ad esempio, 192.168.100.1 –
192.168.100.255
iv. un file di testo contenente un elenco di computer – ad
esempio, file:c:\test.txt (percorso completo al file). Ogni rigo
contenuto nel file può assumere qualsiasi formato o oggetto
specificato nei punti (1), (2) o (3).
2. Profilo di scansione: selezionare il profilo di scansione da utilizzare
per questa scansione pianificata.
3. Scansione successiva: specificare in quale data e ora si desidera
cominciare la scansione.
4. Perform a scan every (Effettua una scansione ogni): specificare se
si desidera effettuare la scansione una sola volta o
periodicamente.
5. Descrizione:
pianificate
viene
visualizzata
nell’elenco
delle
scansioni
Fare clic su OK per creare la scansione pianificata.
Per analizzare/visualizzare i risultati di una scansione pianificata, nel
nodo Scan filters (Filtri di scansione) si deve specificare il file XML dei
risultati di scansione di quella scansione pianificata. Per farlo,
1. Fare clic con il tasto destro del mouse sul nodo principale “Scan
Filters” (Filtri di scansione) e selezionare “Filter saved scan results
XML file...” (File XML dei risultati di scansione filtrati salvato…)
2. Specificare il file XML dei risultati di scansione della scansione
pianificata.
3. I nodi dei filtri visualizzano ora i dati del file di risultati della
scansione pianificata.
File dei parametri
Il nodo dei file dei parametri fornisce un’interfaccia diretta per
modificare vari file dei parametri basati sul testo utilizzati da GFI
LANguard N.S.S. Soltanto utenti avanzati dovrebbero modificare tali
file. Se questi file fossero erroneamente modificati, risulterebbe colpita
l’affidabilità di GFI LANguard N.S.S. per quanto riguarda la
determinazione del tipo di dispositivo trovato.
•
Ethercodes.txt – questo file contiene molti indirizzi Mac e i relativi
distributori assegnati a quel particolare intervallo.
•
ftp.txt – questo file contiene un elenco di banner di server ftp
utilizzati internamente da GFI LNSS per determinare quale
sistema operativo risieda su quella determinata macchina, in base
al server ftp in funzione su di essa.
•
Identd.txt – questo file contiene banner “identd” anch’essi utilizzati
internamente da GFI LNSS per determinare il sistema operativo
che utilizza le informazioni di banner.
•
Object_ids.txt – questo file contiene “object_ids” (id dell’oggetto) e
dati relativi al distributore e prodotto di appartenenza. Quando GFI
LANguard N.S.S. trova un dispositivo che risponde a
interrogazioni SNMP, confronta le informazioni di Object ID (ID
dell’oggetto) del dispositivo con quelle memorizzate in questo file.
•
Passwords.txt – questo file contiene un elenco di password
utilizzate per asserire debolezze di password.
•
Rpc.txt – questo file contiene una mappatura fra i numeri di
servizio riportati dal protocollo rpc e il nome del servizio associato
a quel particolare numero di servizio. Quando GFI LANguard
N.S.S. trova servizi RPC in esecuzione su una macchina (di solito
Unix o Linux), le informazioni ottenute sono confrontate con quelle
di questo file.
•
Smtp.txt – contiene un elenco di banner e dei relativi sistemi
operativi. Come nel caso dei file ftp e ident, questi banner sono
utilizzati internamente da GFI LNSS per determinare il sistema
operativo che risiede sulla macchina target.
•
Snmp-pass.txt – questo file contiene un elenco di community
string che GFI LNSS utilizza per determinare se sono disponibili
sul server SNMP target. Laddove disponibili, queste community
string sono rilevate dallo strumento di scansione SNMP.
•
telnet.txt – ancora una volta, si tratta di un file che contiene vari
banner di server telnet utilizzati da GFI LNSS per determinare il
sistema operativo che risiede sulla macchina target.
•
www.txt – un file che contiene banner di server utilizzati per
determinare quale sistema operativo risiede sulla macchina
target.
•
Enterprise_numbers.txt – elenca gli OID (Object Identifier – ID
dell’oggetto)
ai
codici
di
relazione
dell’azienda
(distributore/università). Se GFI LANguard N.S.S. non ottiene le
specifiche informazioni su un dispositivo quando lo rileva
(informazioni fornite dal file object_ids.txt), controlla le informazioni
sullo specifico distributore ottenute e fornisce almeno l’identità del
distributore del prodotto rilevato. Tali informazioni si basano sui
Network Management Private Enterprise Codes SMI, reperibili sul
sito: http://www.iana.org/assignments/enterprise-numbers
Utilizzazione di GFI LANguard N.S.S. dalla riga dei comandi
È possibile evocare il processo di scansione dalla riga dei comandi.
Ciò consente di chiamare lo scanner da un’altra applicazione o
semplicemente su base programmata con le proprie opzioni
personalizzate.
Utilizzo:
“lnsscmd
<Target>
[/profile=profileName]
[/report=reportPath]
[/output=pathToXmlFile]
[/user=username
/password=password]
[/email=emailAddress] [/DontShowStatus] [/?]” (lnsscmd <Target>
[/profilo=Nome
profilo]
[/rapporto=Percorso
del
rapporto]
[/output=percorso
al
file
XML]
[/utente=nome
utente
/password=password] [/email=Indirizzo email] [/Non mostrare lo stato]
[/?])
Legenda:
Target obbligatorio: IP/Macchina o intervallo di IP/Macchine da
sottoporre a scansione.
/Profile Optional: (/Profilo - facoltativo): profilo da utilizzare per la
scansione. Se non diversamente indicato, viene utilizzato il profilo
attivo corrente.
/Output Optional: (/Output - facoltativo): percorso completo (compreso
nome del file) dove emettere il file xml dei risultati della scansione.
/Report Optional: (/Rapporto - facoltativo): percorso completo
(compreso nome del file) dove generare il file html del rapporto dei
risultati della scansione.
/User Optional: (/Utente - facoltativo): effettua la scansione del
dispositivo target specificato utilizzando le credenziali alternative
specificate nei parametri /User (/Utente) e /Password (/Password).
/Password Optional: (/Password - facoltativa): effettua la scansione
del dispositivo target specificato utilizzando le credenziali alternative
specificate nei parametri /User (/Utente) e /Password (/Password).
/Email Optional: (/Email - facoltativa): invia il rapporto dei risultati a
quest’indirizzo email alternativo. Verrà utilizzato il server di posta
specificato
nel
nodo
LNSS\Configuration\Alerting
Options
(LNSS\Configurazione\Opzioni di allerta).
/DontShowStatus Optional: (/Non mostrare lo stato - facoltativo): non
mostra i dettagli dell’andamento della scansione.
NOTA: per i percorsi completi e i nomi dei profili, includere il nome tra
virgolette, ad esempio, “Default”, “c:\temp\test\xml” (“Predefinito”,
“c:\temp\test\xml”).
/? Facoltativo: visualizza la schermata della guida in linea relativa a
come susare il file “lnsscmd.exe”.
Macro:
%INSTALLDIR% viene sostituito
d’installazione di LANguard N.S.S.
dal
percorso
alla
directory
%TARGET% viene sostituito dal target di scansione.
%SCANDATE% viene sostituito dalla data di scansione.
%SCANTIME% viene sostituito dall’ora di scansione.
Esempio:
lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml"
/Report="c:\result.html" /email="[email protected]" (lnsscmd.exe
127.0.0.1
/Profilo="Predefinito"
/Output="c:\out.xml"
/Rapporto="c:\risultato.html" /email="[email protected]”)
Quanto sopra descritto farà in modo che la riga di comandi dello
scanner esegua una scansione di sicurezza sulla macchina 127.0.0.1,
emetta il file xml su c:\out.xml, generi il rapporto html c:\result.html
(c:\risultato.hmtl) su una volta completata la scansione e, infine, invii il
rapporto all’indirizzo email “[email protected]”.
Impiego di patch
Introduzione all’impiego di patch
Utilizzare il tool (strumento) di messa in funzione di patch, in modo da
tenere aggiornate le macchine NT, 2000, XP e 2003 con le patch e i
service pack più recenti. Per mettere in funzione patch e service pack,
bisogna seguire le seguenti fasi:
Fase 1: effettuare una scansione della rete
Fase 2: selezionare su quali macchine mettere in funzione le patch
Fase 3: selezionare quali patch impiegare
Fase 4: scaricare i file delle patch e dei service pack
Fase 5: correggere i parametri d’impiego del file
Fase 6: impiegare gli aggiornamenti
Per mettere in funzione le patch:
•
Si deve disporre di diritti amministrativi sulla macchina su cui si sta
effettuando la scansione.
•
NETBIOS deve essere abilitato sulla macchina remota.
L’agente per l’impiego delle patch
GFI LANguard N.S.S. 5 utilizza un agente per l’impiego delle patch,
installato automaticamente sulla macchina remota, per impiegare
patch, service pack e software personalizzato. L’agente per l’impiego
delle patch consiste in un servizio che esegue l’installazione all’ora
programmata, in base ai parametri d’impiego indicati. Tale architettura
risulta quindi più molto affidabile di quella che non si avvale di un
agente per l’impiego delle patch. L’agente per l’impiego delle patch
viene
installato
automaticamente
senza
l’intervento
dell’amministratore.
Nota: non è raro che Microsoft ritiri file di patch. Quando ciò accade,
le informazioni di quella patch rimangono nel file “mssecure.xml”,
poiché la patch era ad un certo punto disponibile. In questi casi, GFI
LANguard NSS riporta la patch come mancante, benché essa non
possa essere installata. Se non si desidera ricevere informazioni su
queste patch mancanti, bisogna disabilitare la ricerca di quel dato
bollettino dal nodo GFI LANguard N.S.S. > Configuration > Scanning
Profiles > Patches (GFI LANguard N.S.S. > Configurazione > Profili di
scansione > Patch).
Fase 1: effettuare una scansione della rete
GFI LANguard N.S.S. scopre patch e servizi mancanti in quanto parte
della scansione per la sicurezza. Lo fa paragonando le impostazioni
Impiego di patch • 53
del registro di configurazione del sistema, i timbri temporali (data/ora)
dei file e le informazioni relative alla versione, presenti sulla macchina
remota, avvalendosi delle informazioni fornite da Microsoft nel file
“mssecure.xml’”.
Innanzi tutto, GFI LANguard N.S.S. individua quali prodotti, di cui
possiede informazioni sulle patch, sono installati sulla macchina target
(per esempio, Microsoft Office). Dopo di che, controlla quali patch e
service pack sono disponibili per quel prodotto e invia le informazioni
sulla patch mancante al nodo delle “Missing patches” (Patch
mancanti) del nodo “high security vulnerabilities” (Vulnerabilità della
sicurezza alte).
Visualizzazione di un campione di patch mancante nell’albero dei risultati della scansione
Per ogni service pack/patch mancante, GFI LANguard N.S.S. riporta
un collegamento dal quale è possibile scaricare il file della patch ed
altre informazioni relative a quel bollettino.
Le patch mancanti in via definitiva sono riportate nei nodi “Missing
patches and service packs” (“Patch e service pack mancanti”) dei
risultati di scansione.
Le patch per le quali non è possibile confermare se siano installate o
no a causa della mancanza di informazioni d’individuazione, sono
riportate nel nodo “Potential vulnerabilities” (Vulnerabilità potenziali)
dei risultati della scansione.
Visualizzazione di un campione di patch non individuabili nell’albero dei risultati della scansione
Fase 2: selezionare su quali macchine mettere in funzione le patch
Dopo aver effettuato la scansione della rete, nella finestra dei risultati
della scansione viene visualizzato l’elenco dei service pack e delle
patch mancanti. Per installare gli aggiornamenti mancanti, si devono
selezionare i computer che si intendono aggiornare. Le patch possono
essere impiegate su una macchina, su tutte le macchine o su
macchine selezionate.
Per mettere in funzione le patch mancanti su un computer:
fare clic con il pulsante destro del mouse sul computer che si vuole
aggiornare Deploy Microsoft updates > [type of update] > This
54 • Impiego di patch
computer (Impiega gli aggiornamenti di Microsoft > [tipo di
aggiornamento] > Questo computer).
Per mettere in funzione le patch mancanti su tutti i computer:
fare clic con il pulsante destro del mouse su qualsiasi computer
riportato nell’albero dei risultati “Deploy Microsoft updates > [type of
update] > All computers” (Installa gli aggiornamenti di Microsoft > [tipo
di aggiornamento] > Tutti i computer).
Per mettere in funzione le patch mancanti su computer
selezionati:
utilizzare le caselle di controllo sul lato sinistro dei risultati della
scansione per selezionare quali macchine si desidera aggiornare.
Fare clic con il pulsante destro del mouse su qualsiasi computer
riportato nell’albero dei risultati “Deploy Microsoft updates > [type of
update] > Selected computer” (Impiega gli aggiornamenti di Microsoft
> [tipo di aggiornamento] > Computer selezionati).
Indicare su quali macchine si vogliono impiegare gli aggiornamenti richiesti.
Fase 3: selezionare le patch da impiegare
Una volta selezionati i computer target su cui impiegare le patch di
Microsoft, viene visualizzato il nodo Deploy Microsoft patche’ (Impiega
gli aggiornamenti di Microsoft). Questo nodo riporta i dettagli dei
computer selezionati e quali patch/service pack devono essere
impiegati su quei computer.
Sono visibili due visualizzazioni in cui è possibile gestire le opzioni
d’impiego.
(1) Ordinamento per computer: selezionare un computer e vedere
quali patch/aggiornamenti devono essere impiegati su di esso
(2) Ordinamento per patch: selezionare una patch e vedere su quali
computer manca quell’aggiornamento.
Messa in funzione del nodo delle patch di Microsoft
Per impostazione predefinita, tutte le patch vengono selezionate per la
messa in funzione. Se si vuole evitare di impiegare determinate patch,
deselezionarle facendo clic sulla casella di spunta situata accanto alle
rispettive patch.
Fase 4: scaricare i file delle patch e dei service pack
Dopo aver selezionato le patch o i service pack da mettere in
funzione, bisogna scaricare gli opportuni file che contengono le patch.
Questa operazione viene effettuata in larga misura da GFI LANguard
N.S.S. in maniera automatica. Inoltre, esso li colloca nelle directory
corrette in base alla linguadel prodotto che viene aggiornato.
GFI LANguard NSS riporta quali file di patch devono essere scaricati
Nell’elenco delle patch da impiegare, GFI LANguard N.S.S. riporta
quali file vanno scaricati. Viene elencato ogni file di patch necessario,
che riporta uno dei seguenti stati, indicati da un’icona nell’elenco delle
patch mancanti:
Scaricato
Attualmente in corso di scaricamento
In attesa che l’utente si colleghi alla pagina web per scaricare il
file.
Non scaricato
Scaricamento delle patch
Le patch di Microsoft, elencate nel file “mssecure.xml”, possono
essere distinte in tre categorie principali:
(1) Patch dotate di una locazione (URL) diretta per il download.
(2) Patch che richiedono di navigare in qualche pagina web nel Web
per poter scaricare il file.
(3) Patch per le quali non esiste un file di patch.
Per scaricare patch dotate di un collegamento diretto:
Per le patch dotate di un collegamento diretto per il download, fare clic
sul file di patch e selezionare “Download File” (“Scarica file”). Comicia
quindi il download e, una volta completato, il file viene messo
automaticamente nella directory corretta.
Per scaricare patch non dotate di un collegamento diretto, ma
solo di una pagina web sorgente.
Quando individua un file che deve essere scaricato manualmente dal
sito Web di Microsoft, GFI LANguard N.S.S. carica la pagina web
principale nell’area situata in fondo al tool per l’impiego delle patch. Si
è allora in grado di trovare il collegamento per il download più
opportuno e quindi di fare clic su di esso. GFI LANguard N.S.S.
controlla questa sessione Web e, non appena si fa clic su un
collegamento diretto per il download, inizia automaticamente a
scaricare quel file. La navigazione nella pagina Web fa parte della
sessione di download. Se si vuole annullare la sessione di download,
bisogna fare clic sulla patch e selezionare "Cancel Download"
(“Annulla il download”). Una volta completato il download, il file viene
messo automaticamente nella directory corretta.
Scaricamento di una patch da una pagina Web con l’ausilio dell’assistente per il download.
Fase 5: correggere i parametri d’impiego del file
In via facoltativa, è possibile configurare su una patch parametri
d’impiego alternativi, in base alle patch stesse. Per farlo, procedere
come segue:
1. Fare clic sul file di patch con il tasto destro del mouse e
selezionare “Properties” (Proprietà).
2. In via facoltativa, specificare una sorgente URL di download
alternativa.
3. In via facoltativa, specificare i parametri della riga di comandi da
utilizzare durante l’impiego.
È possibile controllare a quale bollettino si applica una patch facendo
clic con il tasto destro del mouse sul file di patch e selezionando
“Bulletin Info…” (Informazioni sul bollettino…)
Proprietà del file di patch
Fase 6: impiegare gli aggiornamenti
Dopo aver selezionato i computer su cui mettere in funzione le patch,
si è pronti per l’utilizzo!
Fare clic su Start (Inizio) in basso a destra per avviare l’impiego.
Avvio dell’impiego delle patch facendo clic su Start (Inizio).
Inizia quindi l’impiego delle patch. È possibile controllare lo stato
dell’impiego delle patch dalla scheda Deployment status (Stato della
messa in funzione/impiego)
Monitoraggio del processo di download.
Impiego di software personalizzato
Il tool dell’impiego di software personalizzato è molto pratico per
mettere rapidamente in funzione patch personalizzate di software su
tutta la rete, oppure persino per installare software su tutta la rete. Il
tool dell’impiego di software personalizzato è inoltre usato spesso per
installare aggiornamenti di firme antivirus su tutta la rete. Il processo
d’impiego di software personalizzato è molto simile al processo di
applicazione delle patch su una macchina.
Impiego di software personalizzato
Fase 1: selezionare le macchine su cui installare il software
o le patch
1. Aprire il nodo Deploy custom software (Impiega software
personalizzato) del nodo degli strumenti (Tools).
2. Fare clic sul pulsante “Add”’ (Aggiungi) per aggiungere un singolo
computer oppure fare clic sul pulsante “Select” (Seleziona) per
scegliere una serie di computer sui quali impiegare il software
personalizzato.
Nota: è possibile selezionare su quali macchine mettere in funzione il
software personalizzato anche dal nodo “Security Scanner” (Scanner
di sicurezza) e poi dal nodo “Tools > Enumerate Computers”
(Strumenti > Conta computer).
Fase 2: specificare il software da impiegare
Fare clic sul pulsante “Add…” (Aggiungi…) della sezione “Patches:”
(Patch:) per specificare la locazione sorgente del file e specificare
eventuali parametri della riga di comandi che devono essere utilizzati
per l’impiego del file.
Indicazione del software da impiegare
In via facoltativa, è possibile programmare un orario in cui la messa in
funzione deve aver luogo
Fase 3: avviare il processo d’impiego
Una volta specificato il software da impiegare e i computer sui quali
deve essere impiegato, è possibile avviare il processo d’impiego
facendo clic sul pulsante Start (Inizio).
Impiego di patch personalizzate che indicano quali file di patch impiegare e su quali computer.
Opzioni d’impiego
Scheda “General” (Generale) delle opzioni d’impiego
È possibile configurare opzioni indugiando con il mouse sul pulsante
delle opzioni, situato sul lato destro dello schermo. In questo punto è
possibile:
Scheda “General” (Generale)
•
Configurare il servizio dell’agente per l’impiego perché venga
eseguito con credenziali alternative.
•
Riavviare il computer target dopo l’impiego. Alcune patch
richiedono il riavvio della macchina dopo l’installazione.
Selezionare questa casella di opzione se uno o più patch
richiedono il riavvio della macchina.
•
Spegnere il computer dopo l’impiego degli aggiornamenti del
software.
•
Avvertire l’utente prima dell’impiego: con questa opzione si invia
un messaggio alla macchina target prima di impiegare gli
aggiornamenti.
•
Chiudere i servizi prima dell’impiego: questa opzione chiude i
servizi ISS e MS SQL Server prima dell’impiego.
•
Configurare GFI LANguard N.S.S. in modo che impieghi gli
aggiornamenti del software mediante le risorse amministrative
condivise o una condivisione personalizzata (in quest’ultimo caso,
le risorse amministrative condivise non sono necessarie. Possono
essere disabilitate per maggiore sicurezza).
•
Eliminare i file copiati sulle macchine remote dopo la messa in
funzione.
•
Configurare particolari condizioni di filtraggio in base alle quali
impiegare le patch (filtri di computer)
Scheda “Advanced” (Opzioni avanzate)
•
Configurare il numero di thread di messa in funzione di patch da
utilizzare
•
Configurare l’attesa massima d’impiego.
Opzioni d’impiego avanzate
Scheda Download Directory (Directory di scaricamento)
•
Configurare la directory in cui vanno archiviate le patch scaricate.
Opzioni della directory di download
NOTA: nel tool “Deploy custom patche”’ (Impiega patch
personalizzate), i Computer filters (Filtri di computer) non saranno
applicati a computer che non siano stati sottoposti a scansione dal
tool dello scanner di sicurezza.
Perchè paragonare i risultati?
Attraverso l’esecuzione di controlli regolari e la comparazione con i
risultati di scansioni precedenti, è possibile farsi un’idea di quali falle
nella sicurezza continuano a comparire o sono riaperte dagli utenti.
Questo crea una rete più sicura.
GFI LANguard Network Security Scanner aiuta a farlo consentendo di
confrontare i risultati delle varie scansioni. GFI LANguard N.S.S.
riporta le differenze e consente di prendere provvedimenti. È
possibile confrontare i risultati manualmente o tramite le scansioni
pianificate.
Esecuzione di un confronto tra risultati di scansioni in modo
interattivo
Ogni volta che GFI LANguard N.S.S. effettua una scansione
pianificata, salva il file XML dei risultati della scansione nella directory
Data\Reports (Dati\Rapporti) della directory d’installazione di GFI
LANguard N.S.S.
È possibile inoltre salvare i risultati della scansione corrente in un file
xml, facendo clic con il pulsante destro del mouse sul nodo Security
Scanner (Scanner di sicurezza) e selezionando “Save scan results to
XML file…” (Salva i risultati della scansione nel file XML…).
Per confrontare due file XML di risultati di scansioni, procedere come
segue:
1. Aprire lo strumento Result comparison (Confronto tra risultati) sotto
GFI LANguard N.S.S. > Security Scanner > Result comparison (GFI
LANguard N.S.S. > Scanner di sicurezza > Confronto tra risultati).
2. Selezionare due file di risultati di scansioni, o da file XML o da
risultati archiviati nel terminale database, eseguite con le stesse
opzioni e sulla stessa serie di computer, ma in tempi diversi, e fare clic
su Compare (Confronta).
Confronto tra risultati • 65
Il risultato sarà qualcosa di simile alla schermata sopra riportata.
Illustra ciò che è stato abilitato o disabilitato ed eventuali modifiche
della rete dall’ultima scansione operata.
•
La sezione New items (Nuovi elementi) illustra i nuovi eventi che si
sono verificati dopo la prima scansione.
•
La sezione Removed items (Elementi rimossi) illustra eventuali
dispositivi/problemi che sono stati rimossi dalla prima scansione
operata.
•
La sezione “Changed items” (Elementi modificati) illustra gli
elementi che hanno subito modifiche, quali un servizio che è stato
abilitato oppure disabiltato tra una scansione e l’altra.
Esecuzione di un confronto tramite l’opzione delle scansioni
pianificate
Anziché effettuare la scansione della rete manualmente tutti i giorni,
settimane o mesi, è possibile impostare una scansione pianificata. Ad
una certa ora viene eseguita una scansione pianificata in modo
automatico e vengono inviate via email all’amministratore le differenze
tra le scansioni pianificate. Ad esempio, l’amministratore può
configurare la caratteristica delle “Scheduled Scan” (Scansioni
pianificate) affinché effettui una scansione tutte le notti alle ore 23. Il
servizio di supervisione di GFI LANguard N.S.S. lancerà una
scansione per la sicurezza sul o sui computer target selezionato/i e
salverà i risultati nel database centrale. Poi, confronterà i risultati
attuali con i risultati della notte precedente e riporterà le differenze, se
presenti.
NOTA: la prima volta che viene effettuata una scansione pianificata o
se non vengono rilevate differenze rispetto alla scansione precedente,
GFI LANguard N.S.S. non invierà alcun rapporto via email. Si riceverà
un rapporto unicamente se è stato modificato qualcosa.
66 • Confronto tra risultati
Confronto tra risultati • 67
Monitor di stato di GFI LANguard
N.S.S.
Visualizzazione delle operazioni pianificate
Il monitor di stato di GFI LANguard N.S.S. consente di monitorare lo
stato delle scansioni pianificate attive e degli impieghi di
aggiornamenti dei software. È inoltre possibile annullare operazioni
d’impiego pianificate.
Scansione pianificata attiva
Per visualizzare lo stato delle scansioni pianificate attive, fare clic
sull’icona del monitor di GFI LANguard N.S.S. nell’area di notifica di
Windows e selezionare la scheda delle scansioni pianificate
(Scheduled scans). Verranno visualizzate tutte le scansioni pianificate
attive correnti e a che ora sono state avviate.
Nota: come si deduce facilmente dal nome, nelle Active Scheduled
Scans (Scansioni pianificate attive) vengono illustrate solo le
scansioni attive correnti. Per controllare quali scansioni risultano
pianificate ed annullare eventuali scansioni, aprire GFI LANguard
N.S.S. e fare clic su GFI LANguard N.S.S. > Configuration >
Scheduled Scans (GFI LANguard N.S.S. > Configurazione >
Scansioni pianificate)
Scansione programmata completata
Monitor di stato di GFI LANguard N.S.S. • 69
Per annullare una scansione programmata attiva, selezionare quella
che si desidera annullare e fare clic sul pulsante “Stop Selected
Scan(s)” (“Arresta la/le scansione/i selezionata/e”).
Scansione annullata
Impieghi pianificati
Per visualizzare lo stato delle scansioni pianificate attive, fare clic
sull’icona del monitor di GFI LANguard N.S.S. nella barra degli
strumenti di Windows e selezionare la scheda degli impieghi pianificati
(Scheduled deployments).
Impieghi pianificati
70 • Monitor di stato di GFI LANguard N.S.S.
Per annullare l’impiego pianificato di una aggiornamento software,
selezionare la voce che si desidera annullare e fare clic su “Cancel
Selected deployment” (Annulla l’impiego selezionato).
Impiego annullato
Monitor di stato di GFI LANguard N.S.S. • 71
Opzioni di manutenzione del database
Introduzione
Utilizzare il nodo delle opzioni di manutenzione del database per
selezionare il terminale database da utilizzare per archiviare i risultati
di scansione salvati. È inoltre possible configurare le opzioni di
manutenzione del database, per esempio, l’eliminazione automatica
dei risultati di scansione precedenti una certa data.
Se, come terminale database, si utilizza MS Access, si può pianificare
una compattazione del database per evitare la corruzione dei dati. Le
opzioni di manutenzione del database sono accessibili:
1. Aprendo GFI LANguard N.S.S. > Configuration (GFI LANguard
N.S.S. > Configurazione) e poi facendo clic con il tasto destro del
mouse su Database Maintenance Options (Opzioni di
manutenzione del database).
2. Selezionando Properties (Proprietà).
Scheda “Change Database” (Cambia database)
La scheda "Change Database" (Cambia database) contiene le opzioni
che consentono di cambiare il terminale database utilizzato da GFI
LANguard N.S.S. per archiviare i risultati di scansione. I terminali
database supportati sono MS Access o MS SQL Server.
MS Access
Specificare il percorso completo (comprese il nome del file) da
utilizzare come terminale database MS Access. NOTA: se tale file non
esiste, verrà automaticamente creato.
Opzioni di manutenzione del database • 73
Cambia database – MS Access
MS SQL Server
Specificare il nome/IP del server con installato MS SQL Server. È
inoltre necessario specificare le credenziali di accesso SQL Server
(GFI LANguard N.S.S. non supporta la modalità di autenticazione NT).
NOTA: se il server e le credenziali indicate sono corretti, GFI
LANguard N.S.S. accederà a SQL Server e creerà le tabelle di
database necessarie. Se queste sono già presenti, LANguard N.S.S.
le riutilizzerà.
74 • Opzioni di manutenzione del database
Cambia database – SQL Server
Scheda “Manage Saved Scan results” (Gestisci risultati di
scansione salvati)
La scheda "Change Database" (Cambia database) contiene le opzioni
che consentono di eliminare dal terminale database i risultati di
scansione salvati. È possibile eliminare manualmente le scansioni
oppure eliminare le scansioni salvate in base all’età.
Scheda “Advanced Options” (Opzioni avanzate)
La scheda "Advanced" (Opzioni avanzate) contiene le opzioni che
consentono di pianificare una compattazione del terminale database.
È anche possibile configurare compattazioni automatiche da parte del
servizio di supervisione.
NOTA: la compattazione dei database ha luogo per rimuovere
definitivamente registrazioni contrassegnate per l’eliminazione.
Opzioni di manutenzione del database • 75
Opzioni di manutenzione del database – Opzioni di compattazione
76 • Opzioni di manutenzione del database
Strumenti
Introduzione
Nel menu “Tools” (Strumenti) si trovano i seguenti strumenti:
•
DNS Lookup (Ricerca DNS)
•
Whois Client (Chi è il client)
•
Trace Route (Traccia del percorso)
•
SNMP Walk
•
SNMP Audit (Controllo SNMP)
•
MS SQL Server Audit (Controllo di MS SQL Server)
•
Enumerate Computers (Conta computer)
Ricerca DNS
Questo strumento sistema il “Domain Name” (Nome del dominio) in un
indirizzo IP corrispondente e, inoltre, fornisce informazioni sul nome
del dominio: se ha un record MX, ecc.
Strumento per la ricerca DNS
Per ottenere informazioni sul nome di un dominio, procedere come
segue:
Strumenti • 77
1. Andare al nodo Tools > DNS lookup (Strumenti > Ricerca DNS).
2. Specificare il nome dell’host da sistemare
3. Specificare le informazioni da acquisire:
•
Basic Information (Informazioni di base) – cioè, il nome
dell’host e quale IP viene sistemato
•
Host Information (Informazioni sull’host) – Note tecnicamente
come HINFO, di solito contengono informazioni come hardware e
sistema operativo che risiede sul dominio specificato (la maggior
parte delle voci DNS non contengono tali informazioni per ragioni
di sicurezza).
•
Aliases (Alias) – restituisce informazioni che potrebbero essere
contenute nella sezione Records the Domain (Registra il dominio).
•
MX Records (Record MX), noti anche come record mail
exchanger (risorse di scambio di posta), illustrano quali server di
posta sono responsabili per questo dominio e in quale ordine.
•
NS Records (Record NS) indicano quali name server sono
responsabili per questo dominio.
Inoltre, è possibile specificare un server DNS alternativo.
Trace Route (Tracciato del percorso)
Strumento Trace route (Tracciato del percorso)
Questo strumento illustra il percorso di rete seguito da GFI LANguard
N.S.S. per raggiungere la macchina target. Quando si esegue un
tracciato del percorso, a fianco di ciascun hop è riportata un’icona:
•
•
78 • Strumenti
indica un hop riuscito entro i normali parametri
indica un hop riuscito, ma il tempo richiesto è stato piuttosto
lungo.
•
•
indica un hop riuscito, ma il tempo richiesto è stato troppo
lungo
indica che l’hop è scaduto (cioè, è durato oltre 1.000ms).
Whois Client (Chi è il client)
Strumento Whois (Chi è)
Questo strumento ricerca informazioni su un dominio o su un indirizzo
IP. È possibile selezionare uno specifico Whois Server (NDT: i server
che hanno registrati tutti i dati sui domini) dall’area delle opzioni
oppure si può utilizzare l’opzione “Default” (Predefinito) che
selezionerà il server in modo automatico.
SNMP Walk
SNMP walk consente di raccogliere informazioni SNMP. Il pannello di
destra contiene un elenco di nomi che simbolizzano Object ID (ID
degli oggetti) specifici presenti sul dispositivo. Per saperne di più sulle
informazioni fornite da SNMP walk, bisogna rivolgersi al distributore.
Alcuni distributori forniscono numerosi dettagli sul significato di
ciascun dato, altri non forniscono alcuna documentazione, nonostante
i loro dispositivi supportino SNMP.
Per utilizzare l’utility, fare clic su Tools > SNMP walk (Strumenti >
SNMP walk). Immettere l’indirizzo IP di una macchina o dispositivo
che si desidera sottoporre a scansione/”walk”.
Nota: in gran parte dei casi SNMP deve essere bloccato al livello del
router/firewall, in modo che gli utenti esterni di Internet non siano in
grado di effettuare la scansione SNMP della rete.
È possibile fornire community string alternative.
Nota: SNMP aiuta utenti malintenzionati ad apprendere molte
informazioni sul proprio sistema, rendendo più semplici la scoperta
Strumenti • 79
delle password ed altri attacchi simili. Si consiglia vivamente di
disattivare SNMP, a meno che tale servizio non sia richiesto.
SNMP Audit (Controllo SNMP)
Lo strumento SNMP Audit (Controllo SNMP) consente di eseguire un
controllo SNMP su un dispositivo e di cercare community string deboli.
Alcuni dispositivi di rete sono dotati di community string alternative o
non predefinite. Il file dictionary (dizionario) contiene un elenco di
popolari community string da verificare. Il file predefinito utilizzato da
questo strumento per l’attacco del dizionario si chiama “snmppass.txt”. È possibile aggiungere nuovi nomi di community a questo
file ovvero dirigere il controllo SNMP perché si avvalga di un file
completamente diverso.
Per avvalersi dell’utility, inserire l’indirizzo IP di una macchina che
esegue SNMP e fare clic su Retrieve (Acquisisci).
MS SQL Server Audit (Controllo di MS SQL Server)
Questo strumento consente di eseguire un controllo su
un’installazione Microsoft SQL Server. È possibile controllare sia
l’account SA (NDT: account di amministrazione) sia account SQL.
Per impostazione predefinita, il tool usa il file dizionario denominato
“passwords.txt”. È possibile aggiungere nuove password a questo file
ovvero dirigere l’utilità verso un altro file di password.
Per eseguire un controllo su server SQL, inserire l’indirizzo IP della
macchina che esegue MS SQL. Se si desidera scoprire le password di
tutti gli account SQL, si deve immettere un nome utente e una
password per accedere ad SQL e acquisire tutti gli account utente.
Strumento di controllo di account SQL
80 • Strumenti
Enumerate Computers (Conta computer)
Strumento per l’elencazione dei computer
Questa utility cerca i Domini e/o Gruppi di lavoro presenti sulla rete.
Una volta trovati, è possibile effettuare la scansione di tali Domini per
acquisire l’elenco dei computer in essi presenti. Una volta effettuata
la scansione, l’utility elenca il tipo di sistema operativo installato su
quella macchina ed eventuali commenti che possono essere elencati,
tramite NETBIOS.
I computer possono essere contati utilizzando uno dei seguenti
metodi:
•
da Active Directory. Questo metodo è molto più rapido e conta
anche i computer che in quel momento sono spenti
•
mediante l’interfaccia di Windows Explorer. Questo metodo è più
lento e non conta i computer spenti.
È possibile specificare quale metodo utilizzare dalla scheda
“Information source” (Sorgente delle informazioni). Si noti che bisogna
effettuare la scansione utilizzando un account che abbia diritti di
accesso ad Active Directory.
Lancio di una scansione per la sicurezza
Una volta contati i computer del dominio, è possibile lanciare una
scansione su macchine selezionate facendo clic con il tasto destro del
mouse su uno dei computer conteggiati e selezionando l’opzione
“Scan” (Effettua la scansione).
Se si vuole lanciare la scansione e continuare ad usare lo strumento
“Enumerate computers” (Elencazione dei computer), selezionare
l’opzione “Scan in background” (Effettua la scansione in background).
Strumenti • 81
Impiego di patch personalizzate
Selezionare le macchine su cui si vogliono impiegare gli
aggiornamenti su “> Right click on any selected machine > Deploy
Custom Patches” (>Fare clic con il tasto destro del mouse su una
macchina selezionata > Impiego di patch personalizzate).
Abilitazione di politiche di controllo
Selezionare le macchine su cui si vogliono abilitare le politiche di
controllo su “> Right click on any selected machine > Enable Auditing
Policies….” (>Fare clic con il tasto destro del mouse su una macchina
selezionata > Abilita politiche di controllo…).
Elencazione di utenti
La funzione di “Enumerate users” (Elencazione di utenti) si connette
ad Active Directory e acquisisce tutti gli utenti e i contatti presenti in
Active Directory.
82 • Strumenti
Aggiunta di controlli di vulnerabilità
tramite condizioni o script
Introduzione
GFI LANguard N.S.S. permette di aggiungere rapidamente controlli
della vulnerabilità personalizzati. Tale operazione può essere
effettuata in 2 modi: scrivendo uno script o utilizzando una serie di
condizioni. Qualunque sia il metodo utilizzato, si deve aggiungere la
vulnerabilità attraverso l’interfaccia dello scanner di Sicurezza ed
indicare il nome dello script oppure le condizioni che devono essere
applicate.
Nota: solo utenti espertidovrebbero creare nuove Vulnerabilità, poiché
una configurazione imprecisa delle Vulnerabilità produrrebbe falsi
positivi o non fornirebbe alcuna informazione sulle Vulnerabilità.
Linguaggio VBscript di GFI LANguard N.S.S.
GFI LANguard N.S.S. include un linguaggio scripting compatibile con
VBscript. Questo linguaggio è stato creato per semplificare l’aggiunta
di controlli personalizzati. Consente inoltre a GFI LANguard N.S.S. di
aggiungere rapidamente nuovi controlli di vulnerabilità e di renderli
disponibili per il download. Il prodotto è munito di un editor con
capacità di evidenziazione della sintassi e di un debugger.
Per ulteriori informazioni sulle modalità di scrittura degli script, si
rimanda al file della guida in linea “Scripting documentation”
(Documentazione di scripting), accessibile dal gruppo di programmi
GFI LANguard N.S.S.
NOTA IMPORTANTE: GFI non è in grado di fornire assistenza nella
creazione di script che non funzionano. È possibile inviare eventuali
quesiti sullo scripting di GFI LANguard N.S.S. al forum di GFI
LANguard, alla pagina http://forums.gfi.com, dove si possono
condividere script e idee con altri utenti di GFI LANguard N.S.S.
Modulo SSH di GFI LANguard N.S.S.
GFI LANguard N.S.S. è dotato di un modulo SSH per l’esecuzione di
script di vulnerabilità su sistemi Linux. Il modulo analizza i dati di
console stampati dallo script. È cioè possibile utilizzare sulla macchina
target con sistema operativo Linux, qualsiasi linguaggio di script o di
programmazione supportati, che consenta l’emissione dei risultati
sulla console (modalità testo).
Aggiunta di controlli di vulnerabilità tramite condizioni o script • 83
Parole chiave:
Il modulo SSH è in grado di eseguire qualunque script supportato e
può essere eseguito sulla macchina Linux target dalla sua finestra
terminale.
Quando si esegue un controllo di vulnerabilità basato su SSH, lo script
SSH viene copiato sulla macchina target mediante una connessione
SSH stabilita servendosi delle credenziali specificate all’inizio della
scansione. Al file copiato vengono poi attribuite autorizzazioni come
eseguibile e viene eseguito sulla macchina target. L’output di testo
generato da questo script è analizzato dal modulo SSH. Grazie
all’output, il modulo SSH sa quando lo script ha cessato l’esecuzione
e se il risultato sia positivo o meno.
Il modulo SSH gestisce le seguenti parole chiave, che vengono
intepretate come istruzioni per GFI LANguard N.S.S.:
•
TRUE: (VERO:)
•
FALSE: (FALSO:)
•
AddListItem (Aggiungi Elemento Elenco)
•
SetDescription (Imposta Descrizione)
•
!!SCRIPT_FINISHED!! (!!SCRIPT_CONCLUSO!!)
Quando il modulo SSH rileva uno degli output di testo sopra elencati,
elabora la stringa in maniera specifica, in base alla parola chiave
trovata.
TRUE: (VERO:) e FALSE: (FALSO:)
Quando il modulo SSH rileva una delle seguenti stringhe, imposta il
risultato del controllo di vulnerabilità su VERO oppure su FALSO.
AddListItem (Aggiungi Elemento Elenco)
AddListItem costituisce una funzione interna utilizzata per aggiungere
risultati allo stesso albero del controllo di vulnerabilità, secondo
quanto illustrato nell’interfaccia utente (UI). La sintassi corretta per
questa funzione è la seguente:
AddListItem([[[<parent
node>]]],[[[<actual
string>]]])
Elemento Elenco([[[<nodo genitore>]]],[[[<stringa reale>]]])
(Aggiungi
Il primo parametro, [[[<parent node>]]] ([[[<nodo genitore>]]]), indica il
nome del nodo genitore. Il secondo parametro, [[[<actual string>]]]
([[[<stringa reale>]]]), indica il valore di quel nodo nell’albero.
NOTA: se il parametro del nodo genitore non è compilato, la funzione
aggiunge la stringa specificata sul primo nodo disponbile in cima per
quel controllo. Ogni vulnerabilità ha il proprio nodo di avvio.
L’eventuale comando AddListItem crea un nodo figlio sotto il nodo di
vulnerabilità di quel controllo.
SetDescription (Imposta Descrizione)
SetDescription costituisce una funzione interna in grado di
sovrascrivere sulla descrizione predefinita impostata all’interno del
controllo di vulnerabilità. Esistono controlli di vulnerabilità dei quali si
vuole magari modificare il nome predefinito dato che viene mostrato
nell’albero.
84 • Aggiunta di controlli di vulnerabilità tramite condizioni o script
SetDescription(<New description>) [Imposta Descrizione (<Nuova
descrizione>)]
!!SCRIPT_FINISHED!! (!!SCRIPT_CONCLUSO!!)
Ogni script deve stampare il testo !!SCRIPT_FINISHED!!
(!!SCRIPT_CONCLUSO!!). Questa stringa segna la fine di ogni
esecuzione di script. Il modulo SSH cerca tale stringa finché non l’ha
trovata o finché il timeout (attesa massima) non scade. Se il timeout
scade prima che il modulo SSH riceva la stringa, esso ignora lo script
e la vulnerabilità non vine visualizzata neppure se il parametro VERO:
viene restituito al moduolo SSH con esito positivo prima del timeout.
Diventa pertanto imperativo che ogni script, indipendentemente dalla
dimensione del controllo, riporti come output il testo
!!SCRIPT_FINISHED!!
(!!SCRIPT_CONCLUSO!!)
alla
fine
dell’elaborazione.
NOTA IMPORTANTE: GFI non fornisce assistenza nella creazione o
correzione di script che non funzionano. È possibile inviare eventuali
quesiti sullo scripting di GFI LANguard N.S.S. al forum di GFI
LANguard, alla pagina http://forums.gfi.com, dove si possono
condividere script e idee con altri utenti di GFI LANguard N.S.S.
Esempio:
Per illustrare le tecniche sopra descritte, si riporta di seguito la
creazione di un controllo di vulnerabilità passo dopo passo.
Innanzi tutto, si crea uno script SSH con funzionalità molto elementari.
Esso utilizza tutte le parole chiave illustrate in precedenza e si limita a
generare una nuova descrizione e ad aggiungere 2 elementi all’albero
delle vulnerabilità.
Lo script SSH, denominato “test.sh” consiste nel seguente codice:
#!/bin/bash
echo "TRUE:" (echo "VERO:")
time=`date` (ora=`data`)
echo "SetDescription(New Script Generated Description at :$time)"
(echo "Imposta Descrizione (Nuova descrizione di script generate a
:$ora)")
echo "AddListItem([[[Child 1]]],[[[Added Item 1]]])" (echo "Aggiungi
Elementi Elenco([[[Figlio 1]]],[[[Elemento aggiunto 1]]])"
echo "AddListItem([[[Child 2]]],[[[Added Item 2]]])" (echo "Aggiungi
Elementi Elenco([[[Figlio 1]]],[[[Elemento aggiunto 1]]])"
echo "!!SCRIPT_FINISHED!!" (echo “!!SCRIPT_CONCLUSO!!”)
Quindi viene create una vulnerabilità che esegue tale script su una
macchina Linux remota. La vulnerabilità assumerà il seguente
formato:
La scansione di una macchina Linux con le credenziali corrette attiva
questo controllo che è impostato su Always Trigger (Attiva sempre).
La vulnerabilità summenzionata genererà il seguente output:
Output di script basato su SSH con feedback (risposta) dello script
È possible trovare ulteriori esempi di script SSH in:
[the Main GFI LANguard N.S.S. directory]\data\scripts\ (directory
principale di GFI LANguard N.S.S.]\dati\script\)
Tutti i file che finiscono con “.sh” sono script SSH (si noti che gli script
SSH possono avere qualsiasi estensione e non soltanto l’estensione
“.sh” per poter funzionare).
Aggiunta di un controllo di vulnerabilità che utilizza uno script vbs
personalizzato
È possibile aggiungere controlli di vulnerabilità che utilizzano uno
script personalizzato. È possibile creare tali script personalizzati
mediante l’editor o il debugger di GFI LANguard NSS. Per farlo,
Fase 1: creazione dello script
1. Lanciare il programma GFI LANguard N.S.S. Script Debugger
selezionando “Start > Programs > GFI LANguard Network Security
Scanner > Script Debugger” (Avvio > Programmi > GFI LANguard
Network Security Scanner > Debugger di script)
2. “File > New…” (File > Nuovo…)
3. Creare uno script. Ad esempio, si può utilizzare il seguente script
fittizio e immetterlo nel debugger:
“Function Main” (Funzione Principale)
echo “Script has run successfully” (echo “Lo script è stato eseguito
con successo”)
Main = true (Principale = vero)
End Function (Fine funzione)
4. Salvare il file, ad esempio, "c:\myscript.vbs"
Fase 2: aggiunta del nuovo controllo di vulnerabilità:
1. Aprire il nodo GFI LANguard N.S.S. Main Program > Configuration
> Scanning Profiles (Programma principale di GFI LANguard N.S.S. >
Configurazione > Profili di scansione).
2. Aprire la scheda delle Scanned Vulnerabilities (Vulnerabilità
sottoposte a scansione) e selezionare la categoria cui deve
appartenere la nuova vulnerabilità.
3. Fare clic sul pulsante Add (Aggiungi). Viene visualizzata la finestra
di dialogo New vulnerability Check (Nuovo controllo di vulnerabilità).
Aggiunta del nuovo controllo di vulnerabilità
4. Immettere quindi i dettagli minimi, quali il nome, una breve
descrizione, il livello di sicurezza, l’URL (ove applicabile). È anche
possibile specificare il tempo necessario per eseguire questo
controllo.
5. Fare clic sul pulsante Add… (Aggiungi…)
6. Quindi, selezionare Script nell’elenco dei tipi di Check (Controlli).
Selezione dello script che contiene il codice del controllo di vulnerabilità
7. Specificare la locazione dello script "c:\myscript.vbs". Fare clic su
“Add” (Aggiungi) per aggiungere la vulnerabilità. Il controllo verrà
eseguito durante la successiva scansione per la ricerca di
vulnerabilità.
8. Per metterlo alla prova, basta semplicemente effettuare la
scansione della macchina host locale e si vedrà l’avviso di
vulnerabilità nella sezione “miscellaneous” (“vulnerabilità varie”) del
nodo delle vulnerabilità dei risultati di scansione.
Aggiunta di un controllo di vulnerabilità che utilizza uno script SSH
personalizzato
Si possono aggiungere controlli di vulnerabilità che utilizzano script
personalizzati, impiegati ed eseguiti dal modulo SSH sulla macchina
Linux sottoposta a scansione. Lo script può essere programmato in
qualunque linguaggio di script o di programmazione che supporti la
stampa sulla console. Per questo esempio ci si avvale del sistema di
script bash gneralmente disponibile su tutti i sistemi Linux per
impostazione predefinita.
Fase 1: creazione dello script
1. Lanciare il proprio editor di file di testo preferito.
2. Accertarsi di iniziare un nuovo file e di salvarlo in “LNSS main
directory\data\scripts”.
3. Nel file di testo digitare quanto segue:
#!/bin/bash
if [ -e test.file ] (se [ -e test.file ])
allora
echo "TRUE:" (echo "VERO:")
altrimenti
echo "FALSE:" (echo "FALSO:")
if (se)
echo "!!SCRIPT_FINISHED!!" (echo “!!SCRIPT_CONCLUSO!!”)
4. Salvare il file, ad esempio, "C:\Program Files\GFI\LANguard
Network Security Scanner 6.0\Data\Scripts\myscript" ("C:\Tutti i
programmi
\GFI\LANguard
Network
Security
Scanner
6.0\Dati\Script\myscript")
Fase 2: aggiunta del nuovo controllo di vulnerabilità:
2. Aprire la scheda delle Scanned Vulnerabilities (Vulnerabilità
sottoposte a scansione) e selezionare la categoria cui deve
appartenere la nuova vulnerabilità.
3. Fare clic sul pulsante Add (Aggiungi). Viene visualizzata la finestra
di dialogo New vulnerability Check (Nuovo controllo di vulnerabilità).
Aggiunta del nuovo controllo di vulnerabilità
4. Immettere ora i dettagli minimi, quali il nome, una breve
controllo.
5. Fare clic sul pulsante Add… (Aggiungi…)
6. Quindi, selezionare Script SSH nell’elenco dei tipi di Check
(Controlli).
Selezione dello script che contiene il codice del controllo di vulnerabilità
7.
Specificare
la
locazione
dello
script
"C:\Program
Files\GFI\LANguard
Network
Security
Scanner
6.0\Data\Scripts\myscript" ("C:\Tutti i programmi \GFI\LANguard
Network Security Scanner 6.0\Dati\Script\myscript"). Fare clic su “Add”
(Aggiungi) per aggiungere la vulnerabilità. Il controllo verrà eseguito
durante la successiva scansione per la ricerca di vulnerabilità.
8. Per metterlo alla prova, basta semplicemente effettuare la
scansione della macchina target Linux locale (creare il file “test.file”
per attivare la vulnerabilità). Per eseguire tale operazione, collegarsi
alla macchina Linux, andare all’utente che si utilizzerà per la
scansione, home directory e digitare il comando “touch test.file”. Dopo
il completamento della scansione, sotto il nodo delle vulnerabilità
configurato nella fase 2, si dovrebbe visualizzare l’avviso di
vulnerabilità appena creato.
Aggiunta di un controllo di vulnerabilità CGI
È anche possibile aggiungere vulnerabilità senza scrivere degli script.
Per esempio, un controllo di vulnerabilità CGI. Per farlo, procedere
come segue:
2. Aprire la scheda Scanned Vulnerabilities (Vulnerabilità sottoposte a
scansione) e selezionare il nodo delle vulnerabilità CGI. Ora fare clic
sul pulsante Add (Aggiungi). Viene visualizzata la finestra di dialogo
new CGI vulnerability check (Nuovo controllo di vulnerabilità CGI).
Creazione di una nuova vulnerabilità CGI
controllo.
4. Specificare l’HTTP method: (il metodo HTTP): i 2 metodi
supportati da GFI LANguard N.S.S. nella sua sezione “CGI abuse”
(Abuso CGI) sono GET e HEAD.
5. Specificare l’URL to check (URL da controllare):
dell’URL che GFI LANguard N.S.S. deve interrogare.
si tratta
6: Specificare la Return String: (Stringa di ritorno): si tratta di ciò
che GFI LANguard N.S.S. deve cercare nella risposta ricevuta per
vedere se la macchina è vulnerabile nei confronti di questo attacco.
Aggiunta di altri controlli di vulnerabilità
È anche possibile aggiungere vulnerabilità senza scrivere degli script.
Utilizzano lo stesso formato di base del controllo di vulnerabilità CGI,
tuttavia è possibile impostare condizioni più complesse. Per farlo,
2. Aprire la scheda Scanned Vulnerabilities (Vulnerabilità sottoposte a
scansione) e selezionare il tipo di vulnerabilità che si desidera
aggiungere facendo clic sulla categoria cui la nuova vulnerabilità
dovrà appartenere. Ora fare clic sul pulsante Add (Aggiungi). Viene
visualizzata la finestra di dialogo New vulnerability Check (Nuovo
controllo di vulnerabilità).
Creazione di una nuova Vulnerabiltà
controllo.
4. Si deve poi specificare cosa controllare. Per aggiungere qualcosa
da controllare, fare clic con il pulsante destro del mouse nella finestra
Trigger condition (Attiva condizione) e aggiungere un nuovo
controllo.
5. È possibile specificare uno dei seguenti elementi per stabilire un
contrassegno delle vulnerabilità di:
•
•
Sistema operativo
o
è
o
non è
Chiave di registro
o
esiste
o
non esiste
Nota: funziona solo sotto HKEY_LOCAL_MACHINE
•
Percorso di Registro
o
esiste
o
non esiste
•
Valore di Registro
o
è pari a
o
è diverso da
o
è minore di
o
è maggiore di
•
•
•
•
•
•
•
•
•
Service pack
o
è
o
non è
o
è inferiore a
o
è superiore a
Hotfix
o
è installato
o
non è installato
o
è installato
o
non è installato
IIS
Versione IIS
o
è
o
non è
o
è inferiore a
o
è superiore a
Servizio RPC
o
è installato
o
non è installato
Servizio NT
o
è installato
o
non è installato
Esecuzione del servizio NT
o
è in esecuzione
o
non è in esecuzione
Tipo di avvio del servizio NT
o
automatico
o
manuale
o
disabilitato
Porta (TCP)
o
è aperta
o
è chiusa
•
Porta UDP
•
o
è aperta
o
è chiusa
Banner FTP
o
è
o
non è
Nota: è possibile creare espressioni che ricerchino da Versione 1.0
a 1.4 e da Versione 2.0 a 2.2, ma non da Versione 1.5 a 1.9. Si
vedano gli esempi di seguito.
•
Banner HTTP
o
è
o
non è
Nota: è possibile creare espressioni che ricerchino da
Versione 1.0 a 1.4 e da Versione 2.0 a 2.2, ma non da
Versione 1.5 a 1.9. Si vedano gli esempi di seguito.
•
Banner SMTP
o
è
o
non è
•
Banner POP3
o
è
o
non è
•
Banner DNS
o
è
o
non è
•
Banner SSH
o
è
o
non è
•
Banner Telnet
o
è
o
non è
•
•
Script
o
restituisce True (1) [Vero (1)]
o
restituisce False (0) [Falso (0)]
Script SSH
o
restituisce True (TRUE:) [Vero (VERO:)]
o
restituisce False (FALSE:) [Falso (FALSO:)]
6. Come si può notare, ogni opzione summenzionata è munita della
propria serie di criteri sui quali può essere basato il controllo di
vulnerabilità. Se si creano controlli di vulnerabilità troppo generici, si
ricevono troppi rapporti falsi. Pertanto, se si decide di creare i propri
controlli di vulnerabilità, accertarsi di progettarli in modo molto
specifico e di pianificarli accuratamente.
Per attivare un controllo di vulnerabilità, non si è limitati solo ad una
delle opzioni sopra descritte; si può impostare il controllo per più
condizioni, ad esempio:
•
Controlla il sistema operativo
•
la porta XYZ
•
il banner “ABC”
•
lo script LANS, l’esecuzione QRS e controlla la vulnerabilità
Se vengono soddisfatti tutti i criteri precedenti, allora e soltanto allora,
viene attivato il controllo di vulnerabilità.
Nota: la creazione di espressioni consente di eseguire un controllo di
vulnerabilità come quello seguente, utilizzato per controllare la
versione di Apache in esecuzione su una macchina:
~.*Apache/(1\.([0-2]\.[0-9]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([09][^0-9]|[0-2][0-9]|3[0-8])).
Per coloro che sono esperti del linguaggio C o Perl, il formato sopra
descritto è lo stesso utilizzato in tali linguaggi. Esistono molte pagine
di guida su Internet relative alle modalità di utilizzo di questo formato.
Negli esempi successivi cerchermo di spiegarlo, ma per ulteriore
guida, si rimanda alla fine della presente sezione per un collegamento
ipertestuale.
Se si desidera vedere un esempio di creazione di una nuova
Vulnerabilità contenente uno script, consultare la “GFI LANguard
N.S.S. scripting documentation” (“Documentazione sullo
scripting di GFI LANguard N.S.S.”).
Risoluzione dei problemi
Introduzione
Questo capitolo descrive come risolvere eventuali problemi con il
prodotto. Le principali fonti di informazioni disponibili per gli utenti
sono le seguenti:
1. Il presente manuale: la maggior parte dei problemi può essere
risolta leggendo il manuale.
2. La knowledgebase di GFI, alla pagina: http://kbase.gfi.com.
3. Il sito del supporto GFI, alla pagina: http://support.gfi.com
4. Contattando il servizio assistenza tecnica di GFI all’indirizzo email
[email protected]
5. Contattando il servizio assistenza tecnica di GFI attraverso il
servizio
di
LiveSupport
all’indirizzo
http://support.gfi.com/livesupport.asp
6. Contattando telefonicamente il nostro servizio assistenza tecnica.
Knowledgebase
GFI mantiene una knowlegdebase contenente le risposte ai problemi
più comuni. In caso di problemi, consultare prima la knowledgebase.
La pagina web della knowledgebase dispone sempre dell’elenco più
aggiornato di richieste di assistenza e di patch.
La knowledgebase è disponibile alla pagina: http://kbase.gfi.com.
Domande più frequenti (FAQ) generali
Richiesta di assistenza tramite email
Se il problema non può essere risolto neanche dopo aver consultato
la knowledgebase ed il presente manuale, è possibile contattare il
servizio assistenza tecnica di GFI. Il modo migliore per contattarlo è
tramite email, perché così si possono inserire le informazioni di
cruciale importanza, quali un allegato, che consentirebbero di
risolvere il problema più rapidamente.
Il Troubleshooter (Esperto nella risoluzione dei problemi), compreso
nel gruppo di programmi, genera automaticamente un certo numero di
Risoluzione dei problemi • 97
file richiesti da GFI per fornire l’assistenza tecnica. I file contengono le
impostazioni di configurazione, ecc. Per generare questi file, avviare il
troubleshooter e seguire le istruzioni dell’applicazione.
Inoltre, per ottenere tutte le possibili informazioni, saranno anche
poste delle domande. Si usi il tempo necessario per rispondere a tali
domande in modo accurato. Senza informazioni adeguate non sarà
possibile diagnosticare in modo corretto il problema.
Aprire quindi la directory dell’assistenza, situata sotto la directory del
programma principale, ZIP the files (Comprimi i file) e inviare i file
appena generati all’indirizzo email: [email protected].
Accertarsi innanzitutto di avere registrato il proprio prodotto sul
nostro sito web: http://www.gfi-italia.com/pages/regfrm.htm!
La richiesta sarà evasa entro 24 ore o meno, a seconda del fuso
orario.
Richiesta di supporto tramite web-chat
E’ anche possibile richiedere assistenza attraverso Live Support (webchat). E’ possibile contattare il servizio assistenza tecnica di GFI
utilizzando
i
servizio
Live
Support
all’indirizzo
http://support.gfi.com/livesupport.asp
Assicurarsi innanzitutto di avere registrato il proprio prodotto sul
nostro sito Web: http://www.gfi-italia.com/pages/regfrm.htm!
Richiesta di assistenza telefonica
E’ inoltre possibile contattare GFI telefonicamente per richiedere
assistenza tecnica. A tale proposito, si prega di consultare il sito web
per i corretti recapiti telefonici e i nostri orari di ufficio, in base alla
propria sede.
Sito web di supporto:
http://support.gfi.com.
Assicurarsi innanzitutto di avere registrato il proprio prodotto sul
nostro sito Web: http://www.gfi-italia.com/pages/regfrm.htm!
Forum via web
E’ disponibile un servizio di supporto tra utenti tramite il forum via
Internet. Si può accedere al forum dal sito:
http://forums.gfi.com/
Notifiche di aggiornamento delle versioni
Consigliamo fortemente di iscriversi al nostro elenco di notifiche di
aggiornamento delle versioni. In questo modo si viene
immediatamente informati relativamente alla creazione di nuovi
prodotti. Per sottoscrivere tale servizio, andare sul sito:
http://support.gfi.com
98 • Risoluzione dei problemi
T
Tracciato del percorso 78,
Indice analitico
U
Utenti 83
Utenti 5, 18
X
XML 7
A
Apertura porte 6
C
Condivisioni 5, 17
Controllo SNMP 80
G
gruppi 5, 21
H
Hot fix 23
HTML 7
L
Licenza 7
P
Politica delle password 18
politica di sicurezza 5
politica di sicurezza 5
R
Registro di configurazione
del sistema (Registry)
18
Requisiti di sistema 9
Ricerca DNS 77
Ricerca DNS 77
Ricerca DNS 79
Ricerca DNS 79
Ricerca DNS 80
Ricerca DNS 80
Ricerca DNS 81
Ricerca DNS 81
Ricerca DNS 82
Ricerca DNS 82
S
Servizi 6
Sistema operativo 7
Sistema Operativo 7
SNMP 14, 80
Risoluzione dei problemi • 99

LANguard Network Security Scanner Manual

Transcript

Documenti analoghi

LANguard Network Security Scanner 3.3

Installazione di GFI LANguard Network Security Scanner

Knowledge Base

Manuale in italiano di ClamWin

clamwin - sommaruga andrea guido

MFC-7420 e MFC-7820N di Brother

Guida di GFI Software

Guida all`applicazione della patch

Lo screening delle cardiopatie fetali

SCHEDA TECNICA REGIA HD PARZIALE Regia

MiraScan 4

qui - GFI Software

AS 1300 (Pro)

Catalogo prodotti Business Solutions