Come verificare le intrusioni

ICT e Internet
Come verificare le intrusioni
14.03.2005
Se vogliamo imparare a proteggere il nostro computer è necessario imparare a controllare gli accessi alla rete,
identificarne la sorgente e l'intento
All'interno del nostro sistema operativo ci sono vari programmi che aprono porte di comunicazione: alcuni di essi
hanno un valido motivo per compiere questa azione, ma altri possono rappresentare un pericolo per la nostra
sicurezza ed esporci al rischio di una intrusione non autorizzata, con tutte le problematiche che questo ne
comporterebbe.
Possiamo tenere sotto controllo le nostre connessioni di rete attraverso il comando ''netstat''. Vediamo di seguito
come utilizzare questo comando.
Apriamo una finestra di prompt di comandi (raggiungibile attraverso il menù di avvio, accessori) e digitiamo al suo
interno netstat -aon. Il risultato sarà simile al seguente:
Connessioni attive
Protocollo
Indirizzo locale
Indirizzo esterno
Stato
PID
TCP
0.0.0.0:135
0.0.0.0:0
LISTENING
944
TCP
0.0.0.0:445
0.0.0.0:0
LISTENING
4
TCP
0.0.0.0:1025
0.0.0.0:0
LISTENING
1016
TCP
0.0.0.0:3389
0.0.0.0:0
LISTENING
1016
TCP
192.168.1.130:3066
207.68.178.16:80
CLOSE_WAIT
1416
TCP
192.168.1.130:3067
195.141.86.81:80
CLOSE_WAIT
1416
Utilizzando questo commando possiamo controllare quali sono le porte aperte sul nostro sistema (ad esempio nella
prima linea possiamo leggere che la porta 135 risulta aperta su tutte le interfacce di rete (0.0.0.0:135,
LISTENING). Possiamo inoltre notare delle connessioni in attesa di chiusura con sorgente locale 192.168.1.30 e
destinazione 207.68.178.16. La porta sorgente è la 3066, mentre la porta di destinazione è la 80. Da queste
informazioni possiamo intuire che è stata fatta una chiamata web verso l'indirizzo IP 207.68.178.16.80, poiché la
porta 80 è appunto la porta HTTP.
Per verificare a cosa corrisponde una determinata porta o un servizio possiamo utilizzare la seguente pagina web:
http://www.securitystats.com/tools/portsearch.php
Se durante i nostri controlli sulle porte aperte notiamo una porta di cui non comprendiamo l'utilità o desta i nostri
sospetti, possiamo utilizzare FPORT, un ottimo tool della Foundstone, che ci permette di associare le porte aperte
al programma che le utilizza. Questo tool può essere prelevato gratuitamente al seguente link:
http://www.foundstone.com/resources/termsofuse.htm?file=fport.zip
Eseguendo fport.exe (in maniera analoga a come descritto in precedenza relativamente al comando netstat) dal
prompt di comandi il risultato sarà simile al seguente:
Pid
Process
Port
Proto
944
svchost
>>
135
TCP
4
System
>>
139
TCP
4
System
>>
445
TCP
1016
svchost
>>
1025
TCP
Path
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
Dal risultato possiamo ottenere i seguenti dati utili:
Process: il nome del processo che utilizza la porta di comunicazione
Port: la porta utilizzata
Path: la posizione del programma all'interno del nostro hard disk
Elenchiamo di seguito alcuni utili strumenti per la prevenzione di accessi non autorizzati al nostro sistema.
Antivirus: Attraverso un efficiente e costantemente aggiornato sistema antivirus è possibile individuare e
difendere il proprio computer da pericolose backdoors o trojan, che possono compromettere la sicurezza del
nostro sistema. Tra i sistemi Antivirus più diffusi in ambienti Microsoft possiamo citare Norton Antivirus,
Mcafee VirusScan, NOD32.
Firewall: Per comprendere in modo semplice il funzionamento di un Firewall possiamo paragonarlo ad un
programma che continuamente esegue il comando netstat sul nostro computer e applica alcune regole e/o
filtri a tutto quello che vede. Possiamo ad esempio dire al nostro Firewall di bloccare tutte le nostre porte che
risultano in LISTENING verso l'esterno. In questo modo, anche in presenza di un servizio vulnerabile che
potrebbe compromettere la sicurezza del nostro sistema riusciamo ad essere comunque protetti dal Firewall,
che non autorizza le connessioni dall'esterno al nostro Personal Computer. Agendo sulle impostazioni del
firewall possiamo inoltre decidere chi è autorizzato ad accedere ai nostri servizi, ad esempio possiamo
decidere che un indirizzo IP possa accedere al nostro servizio di FTP,ed automaticamente tutti gli altri
verranno bloccati. Tra i Firewall in ambiente Windows più diffusi possiamo citare BlackICE, Conseal Firewall e
Norton Internet Security.
Sniffers: Uno sniffer è un programma che memorizza il traffico di rete sul nostro computer, in modo da
poterlo analizzare successivamente. Gli sniffer permettono di memorizzare solo parti del traffico in passaggio,
impostando alcuni filtri. Uno degli sniffer più comuni è Ethereal.
Intrusion Detection Systems (IDS): analogamente al funzionamento di uno sniffer, un Intrusion
Detection System raccoglie e memorizza il traffico di rete. A differenza di uno sniffer che si occupa solamente
della memorizzazione, un IDS analizza il contenuto e fornisce informazioni comprensibili su cosa realmente
sta accadendo nella rete.
Fonte: @ Mediaservice.net (Data Security Department), Claudio Prono
Copyright 2008 © Eurocons Consorzio di Imprese per la Consulenza Aziendale | P.IVA 06586550011 | Condizioni generali | Privacy |
Credits | Search Marketing: TSW | Webmaster