Manuale - GFI Italia

Transcript

GFI LANguard Network Security Scanner 5
Manuale
GFI Software Ltd.
GFI SOFTWARE Ltd.
http://www.gfi-italia.com
Email: [email protected]
Le informazioni contenute in questo documento sono soggette a
modifica senza preavviso. Le società, i nomi e i dati utilizzati negli
esempi sono fittizi se non indicato diversamente. Nessuna parte del
presente documento può essere riprodotta o trasmessa in qualsiasi
forma o tramite qualsiasi mezzo, elettronico o meccanico, per
qualsiasi scopo, senza il permesso esplicito e scritto di GFI
SOFTWARE Ltd.
LANguard è copyright di GFI SOFTWARE Ltd. 2000-2004 GFI
SOFTWARE Ltd. Tutti i diritti riservati.
Versione 5.0 – Ultimo aggiornamento 12 gennaio 2004
Indice
Introduzione
5
Introduzione a GFI LANguard Network Security Scanner............................................. 5
Importanza della sicurezza della rete interna................................................................ 5
Caratteristiche principali ................................................................................................ 6
Elementi di GFI LANguard N.S.S. ................................................................................. 7
Schema di Licenza ........................................................................................................ 7
Installazione di GFI LANguard Network Security Scanner
9
Requisiti di Sistema ....................................................................................................... 9
Procedura d’installazione .............................................................................................. 9
Inserimento del Codice seriale dopo l’installazione .................................................... 11
Guida introduttiva: esecuzione di un controllo
13
Introduzione alle verifiche di sicurezza........................................................................ 13
Esecuzione di una scansione ...................................................................................... 13
Analisi dei risultati di scansione................................................................................... 15
IP, nome della macchina, sistema operativo e livello del
service pack.....................................................................................................15
Nodo delle vulnerabilità ...................................................................................15
Il nodo delle vulnerabilità potenziali.................................................................16
Condivisioni .....................................................................................................17
Politica delle password ....................................................................................18
Registro di configurazione del sistema (Registry) ...........................................18
Politica di controllo della sicurezza..................................................................18
Porte aperte .....................................................................................................19
Utenti e Gruppi ................................................................................................20
Servizi ..............................................................................................................20
Stato delle patch di hotfix del sistema .............................................................21
Risultati supplementari ................................................................................................ 21
Computer .........................................................................................................21
Esecuzione di scansioni In sede (On site) o Fuori sede (Off site) .............................. 22
Scansione In sede (On site) ............................................................................22
Scansione Fuori sede (Off Site) ......................................................................22
Confronto fra scansioni on site e off site .........................................................22
Risultati della scansione filtrata
25
Introduzione ................................................................................................................. 25
Selezione del file source dei risultati della scansione ................................................. 26
Creazione di un filtro di scansione personalizzato ...................................................... 26
Configurazione di GFI LANguard N.S.S.
29
Introduzione alla configurazione di GFI LANguard N.S.S. .......................................... 29
Profili di scansione....................................................................................................... 29
Porte TCP/UDP sottoposte a scansione ..................................................................... 30
Come aggiungere/modificare/eliminare delle porte.........................................30
Dati del sistema operativo sottoposto a scansione ..................................................... 31
Vulnerabilità sottoposte a scansione........................................................................... 32
Manuale di GFI LANguard N.S.S.
Indice • i
Tipi di vulnerabilità...........................................................................................32
Scaricamento delle vulnerabilità della sicurezza più recenti ..........................33
Patch sottoposte a scansione...................................................................................... 33
Opzioni dello scanner .................................................................................................. 34
Metodi di scoperta sulla rete............................................................................35
Scansioni programmate............................................................................................... 37
File dei parametri......................................................................................................... 39
Utilizzazione di GFI LANguard N.S.S. dalla riga per i comandi .................................. 40
Impiego di patch
43
Introduzione alla messa in funzione di patch .............................................................. 43
L’agente per la messa in funzione delle patch ................................................43
Fase 1: effettuare una scansione della rete ................................................................ 43
Fase 2: selezionare su quali macchine mettere in funzione le patch.......................... 44
Fase 3: selezionare quali patch mettere in funzione ................................................... 45
Fase 4: scaricare i file delle patch e dei service pack ................................................. 46
Scaricamento delle patch ................................................................................46
Fase 5: correggere i parametri d’impiego del file ........................................................ 47
Fase 6: utilizzare gli aggiornamenti ............................................................................. 48
Impiego di software personalizzato ............................................................................. 49
Fase 1: selezionare le macchine su cui installare il software o
le patch ............................................................................................................50
Fase 2: specificare il software da impiegare ...................................................50
Fase 3: avviare il processo d’impiego .............................................................51
Opzioni d’impiego ........................................................................................................ 52
Confronto tra risultati
53
Perchè paragonare i risultati?...................................................................................... 53
Esecuzione di un confronto tra risultati in modo interattivo......................................... 53
Esecuzione di un confronto tramite l’opzione delle scansioni
programmate ............................................................................................................... 54
Strumenti
55
Introduzione ................................................................................................................. 55
Ricerca DNS ................................................................................................................ 55
‘Trace Route’ (Traccia del percorso) ........................................................................... 56
‘Whois Client’ (Chi è il client) ....................................................................................... 57
SNMP Walk ................................................................................................................. 57
‘SNMP Audit’ (Controllo SNMP) .................................................................................. 58
‘MS SQL Server Audit’ (Controllo di MS SQL Server)................................................. 58
‘Enumerate Computers’ (Conteggio dei computer) ..................................................... 59
Lancio di una scansione per la sicurezza........................................................59
Impiego di patch personalizzate......................................................................59
Abilitazione di politiche di controllo..................................................................60
Conteggio di utenti....................................................................................................... 60
Aggiunta di controlli di vulnerabilità tramite condizioni o script
61
Introduzione ................................................................................................................. 61
Linguaggio VBscript di GFI LANguard N.S.S. ............................................................. 61
Aggiunta di un controllo di vulnerabilità che utilizza uno script
personalizzato.............................................................................................................. 61
Fase 1: creazione dello script..........................................................................61
Fase 2: aggiunta del nuovo controllo di vulnerabilità: .....................................62
Aggiunta di un controllo CGI........................................................................................ 63
Aggiunta di altri controlli di vulnerabilità ...................................................................... 64
Risoluzione dei problemi
Indice • ii
69
Introduzione ................................................................................................................. 69
Knowledgebase ........................................................................................................... 69
Richiesta di assistenza tramite email .......................................................................... 69
Richiesta di supporto tramite web-chat ....................................................................... 70
Richiesta di supporto telefonico................................................................................... 70
Forum via Web ............................................................................................................ 70
Notifiche di aggiornamento delle versioni.................................................................... 70
Indice analitico
71
Indice • iii
Introduzione
Introduzione a GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) è
uno strumento che permette agli amministratori di rete di effettuare un
controllo di sicurezza della rete rapidamente e con facilità. GFI
LANguard N.S.S. crea rapporti che possono essere utilizzati per
risolvere i problemi della sicurezza di una rete. È anche in grado di
eseguire la gestione delle patch.
A differenza di altri scanner per la sicurezza, GFI LANguard N.S.S.
non crea una “raffica” di informazioni, virtualmente impossibile da
seguire. Piuttosto, aiuta a mettere in rilievo le informazioni più
importanti. Fornisce inoltre collegamenti ipertestuali a siti sicuri per
saperne di più su queste vulnerabilità.
Utilizzando la scansione intelligente, GFI LANguard N.S.S. raccoglie
informazioni sulle macchine, quali nomi utente e gruppi, che possono
contenere oggetti pericolosi che consentano l’accesso a back door
(porte di servizio), condivisioni di reti e oggetti simili trovati su un
Dominio di Windows.
A parte questo, GFI LANguard N.S.S. identifica anche vulnerabilità
specifiche, come, problemi di configurazione in server FTP, exploit in
Microsoft IIS e Apache Web Server ovvero problemi di configurazione
della politica di sicurezza in NT, oltre a molti altri possibili problemi di
sicurezza.
Importanza della sicurezza della rete interna
La sicurezza della rete interna è, molto frequentemente, sottostimata
dai suoi amministratori. Molto spesso, questa sicurezza non esiste
nemmeno e consente ad un utente di accedere facilmente alla
macchina di un altro utente, utilizzando exploit ben noti, relazioni di
fiducia e impostazioni predefinite. La maggior parte di questi attacchi
non richiede particolari abilità, ma mette a repentaglio l’integrità della
rete.
Gran parte dei dipendenti non ha bisogno di accedere né dovrebbe
avere accesso alle macchine altrui, a funzioni amministrative,
dispositivi di rete e così via. Tuttavia, a causa della flessibilità richiesta
per la normale gestione, le reti interne non possono permettersi una
sicurezza massima. D’altro canto, senza alcuna sicurezza, gli utenti
interni possono costituire una grave minaccia per molte reti aziendali
interne.
All'interno dell'azienda, un utente ha già accesso a molte risorse
interne e non ha bisogno di superare firewall o altri meccanismi di
sicurezza che impediscono a fonti non fidate, come gli utenti di
Internet, di accedere alla rete interna. Tali utenti interni, dotati di
Introduzione • 5
capacità da hacker, possono penetrare ed ottenere diritti remoti di
amministrazione di reti, garantendosi, allo stesso modo, che il loro
abuso risulti difficile da identificare o persino da scoprire.
L’80% degli attacchi di reti, infatti, ha origine all’interno del firewall
(ComputerWorld, gennaio 2002).
Una sicurezza della rete scarsa comporta inoltre che, se un hacker
esterno riesce a penetrare nel computer della vostra rete, può
accedere più facilmente al resto della rete interna. Ciò consentirebbe
ad un attacker di leggere e probabilmente divulgare email
confidenziali e documenti, cestinare computer, comportando la perdita
di informazioni e molto altro. Per non parlare, poi, dell’utilizzo della
rete e delle risorse di rete per cominciare ad attaccare altri siti, il che,
una volta scoperto, farà risalire a voi e alla vostra azienda, non
all’hacker.
La maggioranza degli attacchi, contro exploit conosciuti, potrebbe
essere riparata facilmente e quindi arrestata dagli amministratori se
fossero, innanzi tutto, a conoscenza della vulnerabilità. La funzione di
GFI LANguard N.S.S. è di assistere gli amministratori
nell’identificazione di tali vulnerabilità.
Caratteristiche principali
6 • Introduzione
•
Scopre servizi pericolosied apre porte TCP e UDP.
•
Individua CGI, DNS, FTP, Posta, RPC e altre vulnerabilità
conosciute
•
Individua il file Rogue oppure utenti back door
•
Individua condivisioni Aperte
•
Enumerazione di utenti, servizi, ecc.
•
Può effettuare Scansioni Programmate
•
Aggiorna automaticamente
Sicurezza
•
Capacità di individuare hotfix e service pack mancanti nel sistema
operative.
•
Capacità di individuare hotfix e service pack mancanti nelle
applicazioni supportate.
•
Capacità di effettuare confronti tra scansioni, di apprendere nuovi
possibili punti di entrata
•
Capacità di correggere il sistema operativo (sistemi Windows in
lingua inglese) e applicazioni di Office (in inglese, francese,
tedesco, italiano, spagnolo)
•
Identificazione del sistema operativo.Individuazione del live host
•
Uscite HTML, XSL e XML
•
Controllo di SNMPe MS SQL
•
Compatibile con il linguaggio di scritp VBscript per realizzare
controlli di vulnerabilità personalizzati
i
controlli
di
vulnerabilità
della
Elementi di GFI LANguard N.S.S.
GFI LANguard N.S.S. è basato su un'architettura di tipo aziendale ed
è composto dei seguenti elementi
GFI LANguard Network Security Scanner
Si tratta dell’interfaccia principale del prodotto. Utilizzare
quest’applicazione per visualizzare i risultati della scansione in tempo
reale, configurando le opzioni e i profili di scansione, i rapporti dei filtri,
l’utilizzo di strumenti amministrativi specializzati della sicurezza e
molto altro.
Servizio di ricezione di GFI LANguard N.S.S.
Questo servizio esegue scansioni programmate della rete e impieghi
programmati delle patch. Funziona in background.
Servizio di agente delle patch di GFI LANguard N.S.S.
Questo servizio è messo in funzione sulle macchine target sulle quali
deve utilizzata una patch, un service pack o un programma e si
occupa dell’effettiva installazione della patch, del service pack e del
programma.
GFI LANguard N.S.S. Script Debugger
Utilizzare questo modulo per scrivere/correggere script personali
creati.
Schema di Licenza
Lo schema di licenza di GFI LANguard N.S.S. funziona in base al
numero di macchine e dispositivi che si desidera sottoporre a
scansione. Ad esempio, la licenza 100 IP consente di effettuare la
scansione di fino a 100 macchine o dispositivi da una singola stazione
di lavoro o server della vostra rete.
Introduzione • 7
Installazione di GFI LANguard Network
Security Scanner
Requisiti di Sistema
L’installazione di GFI LANguard Network Security Scanner necessita
dei seguenti requisiti:
•
Windows 2000/2003 o Windows XP
•
Internet Explorer 5.1 o superiore.
•
Deve essere installato Microsoft Networks
•
Durante le scansioni, non possono essere eseguiti software per
firewall personali oppure Windows XP Internet Connection
Firewall. Possono bloccare la funzionalità di GFI LANguard N.S.S.
•
La messa in funzione di patch su macchine remote richiede che si
disponga di privilegi da amministratore
Procedura d’installazione
1. Eseguire il programma d’installazione di LANguard Network
Security Scanner facendo doppio clic sul file ‘lannetscan.exe’.
Confermare che si desidera installare GFI LANguard N.S.S. Viene
quindi avviato il wizard dell’installazione. Fare clic su ‘Next’ (Avanti).
2. Dopo aver letto il Contratto di licenza nella finestra di dialogo, fare
clic su Yes (Sì), per accettare le condizioni contrattuali e proseguire
con l’installazione.
3. La procedura d’installazione richiede le informazioni sull’utente e il
codice seriale.
Installazione di GFI LANguard Network Security Scanner • 9
Specificazione delle credenziali dell’amministratore del dominio o utilizzare un account di
sistema locale
4.
La
procedura
d'installazione
richiede
le
credenziali
dell’amministratore del dominio che saranno utilizzate dal servizio di
ricezione di LANguard N.S.S (LANguard N.S.S Attendant), esecutore
delle scansioni programmate. Immettere le credenziali richieste e fare
clic su 'Next’ (Avanti).
Scelta del terminale database
5. La procedura d’installazione richiede di scegliere il terminale
database per il database di GFI LANguard N.S.S. Scegliere tra
Microsoft Access o Microsoft SQL Server\MSDE e fare clic su ‘Next’
(Avanti).
10 • Installazione di GFI LANguard Network Security Scanner
NOTA: SQL Server/MSDE deve essere installato in modalità mista o
di autenticazione del server SQL. Non è supportata la sola modalità di
autenticazione NT.
6. Se si seleziona Microsoft SQL Server/MSDE come terminale
database, verranno richieste le credenziali SQL da utilizzare per
accedere al database. Fare clic su ‘Next’ (Avanti) per continuare.
7. La procedura d’installazione richiede l’indirizzo email di un
amministratore ed il nome del server di posta. Tali impostazioni
verranno utilizzate per inviare messaggi amministrativi di allerta.
8. Scegliere il luogo di destinazione GFI LANguard N.S.S. e fare clic
su Next (Avanti). GFI LANguard N.S.S. richiede circa 40 MB di
spazio libero sul disco fisso.
9. Dopo che GFI LANguard N.S.S. è stato installato, è possibile
eseguire GFI LANguard Network Security Scanner dal menu di avvio.
Inserimento del Codice seriale dopo l’installazione
Se è stato acquistato GFI LANguard N.S.S., è possibile inserire il
Codice seriale nel nodo ‘General > Licensing’ (Generale > Licenza).
Se si sta valutando GFI LANguard N.S.S., il periodo di valutazione ha
una durata di 60 giorni (con il codice di valutazione). Se si decide poi
di acquistare GFI LANguard N.S.S., inserire il Codice seriale in questo
punto, senza reinstallare il prodotto.
Si deve ottenere un numero di licenze di GFI LANguard N.S.S. pari al
numero di macchine che si desidera sottoporre a scansione e al
numero di macchine sullle quali si desidera eseguirlo. Se ci sono 3
amministratori che utilizzano GFI LANguard N.S.S., allora si dovranno
acquistare 3 licenze.
L’inserimento del Codice seriale non va confuso con la procedura di
registrazione dei dati dell’azienda sul nostro sito Web. Questa
seconda fase è molto importante in quanto ci consente di fornire il
supporto e comunicare notizie importanti relative al prodotto.
Registratevi alla pagina:
http://www.gfi-italia.com/pages/regfrm.htm
Nota: per scoprire come acquistare GFI LANguard N.S.S., seguire il
nodo General > How to purchase (Generale > Come acquistare).
Installazione di GFI LANguard Network Security Scanner • 11
Guida introduttiva: esecuzione di un
controllo
Introduzione alle verifiche di sicurezza
Il controllo delle risorse di rete consente all'amministratore di
identificare eventuali rischi all'interno della rete. Un controllo manuale
richiederebbe molto tempo, a causa dei task e delle procedure
ripetitivi da effettuare su ogni macchina della rete. GFI LANguard
N.S.S. rende automatico il processo di controllo della sicurezza e
identifica facilmente vulnerabilità comuni nell’ambito della rete in tempi
brevi.
Nota: se la vostra azienda utilizza un qualunque tipo di software per la
scoperta di intrusioni (Intrusion Detection Software – IDS), sappiate
che l’utilizzo di LANguard Network Security Scanner attiverà quasi tutti
i campanelli e i fischietti in esso contenuti. Se non si è responsabili
del sistema IDS, assicurarsi di informare l’amministratore di quel
campo o di quei campi della scansione che si sta per effettuare.
Oltre all'avvertenza relativa al software IDS, si tenga presente che
saranno rivelate molte scansioni negli archivi storici (log file) per tutte
le categorie. I log Unix, i server web, ecc. mostreranno il tentativo
messo in atto dalla macchina che esegue LANguard Network Security
Scanner. Se non si è l’unico amministratore presso la propria sede,
assicurarsi che gli altri amministratori siano informati delle scansioni
che si stanno per effettuare.
Esecuzione di una scansione
Il primo passo da compiere, quando si comincia un controllo della
rete, consiste nell’effettuare una scansione delle macchine e dei
dispositivi di rete correnti.
Per iniziare una nuova scansione della rete, procedere come segue:
1. Fare clic su File > New (File > Nome)
2. Selezionare l’oggetto della scansione. Si può scegliere fra le
seguenti opzioni:
a. Scan one Computer (Esegui la scansione di un computer)
– Esegue la scansione di una singola macchina.
b. Scan Range of Computers (Esegui la scansione di una
serie di computer) - Esegue la scansione di una serie di IP
specificata.
c. Scan List of Computers (Esegui la scansione di un elenco
di computer) – Esegue la scansione di un elenco di
computer personalizzato. È possibile aggiungere computer
Guida introduttiva: esecuzione di un controllo • 13
all’elenco selezionandoli da un elenco di computer
enumerativi, immettendoli uno per uno oppure importando
l’elenco da un file di testo.
d. Scan a Domain (Esegui la scansione di un dominio) –
Esegue la scansione di un intero dominio di Windows.
3. Imputare l’intervallo d'inizio e fine della rete di cui effettuare la
scansione, in base a ciò che si intende sottoporre a scansione.
4. selezionare Start Scan (Avvia scansione)
Esecuzione di una scansione
LANguard Network Security Scanner effettua ora una scansione.
Innanzi tutto, individua quali host/computer sono accesi ed effettua la
scansione solo di questi. Ciò avviene utilizzando prove NETBIOS,
interrogativi ping ICMP e SNMP
Se un dispositivo non risponde ad una sua richiesta, GFI LANguard
N.S.S. presume, per il momento, che il dispositivo non esiste a tale
indirizzo IP specifico ovvero che sia spento.
Nota: se si intende forzare una scansione su IMPS che non
rispondono, consultare il capitolo “Configurazione delle opzioni di
scansione” per informazioni relative a tale configurazione.
14 • Guida introduttiva: esecuzione di un controllo
Analisi dei risultati di scansione
Analisi dei risultati
Dopo la scansione, risultano visualizzati dei nodi sotto ciascuna
macchina trovata da GFI LANguard N.S.S. Il pannello di sinistra
elenca tutte le macchine e i dispositivi di rete. L’espansione di una
voce dell’elenco, espone una serie di nodi con le informazioni trovate
su tale macchina o dispositivo di rete. Facendo clic su un dato nodo,
nel pannello di destra vengono visualizzate le informazioni sottoposte
a scansione.
Quando GFI LANguard N.S.S. esegue una prova di rete, troverà tutti i
dispositivi di rete accesi in quel momento.
Secondo il tipo di
dispositivo e di interrogativi cui questo ha risposto, viene determinato
il modo in cui GFI LANguard N.S.S. lo identifica e quali informazioni è
in grado di acquisire.
Una volta che GFI LANguard N.S.S. ha terminato la scansione della
macchina/dispositivo/rete, visualizza le seguenti informazioni:
IP, nome della macchina, sistema operativo e livello del
service pack
Viene mostrato l’indirizzo IP della macchina/dispositivo. Viene poi
mostrato il nome del DNS NetBIOS, secondo il tipo di dispositivo.
GFI LANguard N.S.S. indica quale sistema operativo è in esecuzione
sul dispositivo e, se si tratta di Windows NT/2000/XP/2003, indica il
livello di service pack.
Nodo delle vulnerabilità
Il nodo delle vulnerabilità visualizza problemi di sicurezza individuati e
suggerisce la maniera per risolverli. Queste minacce possono
comprendere patch e service pack mancanti, problemi di HTTP,
messaggi di allerta di NETBIOS, problemi di configurazione e così via.
Le vulnerabilità si suddividono nelle seguenti sezioni: service pack
mancanti, patch mancanti, vulnerabilità della sicurezza elevate,
vulnerabilità della sicurezza medie e vulnerabilità della sicurezza
basse.
Sotto ciascuna sezione delle vulnerabilità della sicurezza
Elevate/Medie/Basse, si trovano ulteriori categorie dei problemi
individuati, con i seguenti raggruppamenti: abusi CGI, vulnerabilità
FTP, vulnerabilità DNS, vulnerabilità della posta, vulnerabilità RPC,
vulnerabilità di servizio, vulnerabilità del Registro di configurazione del
sistema (Registry) e vulnerabilità varie.
Patch mancanti - GFI LANguard N.S.S. ricerca eventuali patch
mancanti confrontando le patch installate con le patch disponibili di un
determinato prodotto. Se sulla macchina mancano eventuali patch, si
dovrebbe visualizzare una schermata simile alla seguente:
Innanzi tutto, informa per quale prodotto è la patch. Se si espande il
nodo, si potrà visualizzare la patch specifica mancante e un
collegamento al sito da cui scaricare quella particolare patch.
Abusi CGI – descrivono problemi relativi a server Apache, Netscape,
IIS e altri server web.
Le vulnerablità FTP, DNS, di posta, RPC e varie forniscono
collegamenti a Bugtrag ed altri siti per la sicurezza, in modo che sia
possibile cercare ulteriori informazioni sul problema scoperto da GFI
LANguard N.S.S.
Le vulnerabilità di servizio possono essere molte cose. Qualsiasi
cosa, dai servizi effettivi in esecuzione sul dispositivo in questione agli
account elencati su una macchina che non sia mai stata usata.
Le vulnerabilità del Registro di configurazione del sistema
(Registry) coprono informazioni tratte da una macchina Windows
quando GFI LANguard N.S.S. effettua la scansione iniziale.
Forniscono un collegamento al sito di Microsoft o ad altri siti dedicati
alla sicurezza, che spiegano perché tali impostazioni del registro di
configurazione del sistema (Registry) devono essere modificate.
Le vulnerabilità d’informazione sono messaggi di allerta aggiunti al
database, che costituiscono problemi abbastanza importanti da
sottoporre all'attenzione degli amministratori, ma che non sempre
sono dannosi se vengono lasciati aperti.
Il nodo delle vulnerabilità potenziali
Il nodo delle vulnerabilità potenziali visualizza problemi di sicurezza
possibili, informazioni cruciali ed anche alcuni controlli che non
possono essere eseguiti. Ad esempio, se non è possibile determinare
se una particolare patch sia installata, questa sarà elencata nel nodo
delle Patch non individuabili. Tali vulnerabilità potenziali devono
essere riviste dall’amministratore.
Il nodo delle vulnerabilità potenziali
Condivisioni
Il nodo delle condivisioni elenca tutte le condivisioni presenti su una
macchina e chi ha accesso ad una condivisione. Tutte le condivisioni
di rete devono essere protette in maniera opportuna. Gli
amministratori devono accertarsi che:
1. Nessun utente condivida il proprio drive con altri utenti.
2. Non è consentito l’accesso anonimo o non autenticato alle
condivisioni.
3. Le cartelle di avvio o i file di sistema simili non sono condivise.
Questo può consentire ad un numero inferiore di utenti privilegiati
di eseguire codici sulle macchine target.
Quanto sopra è molto importante per tutte le macchine, ma, in
particolare, per macchine che sono cruciali per l’integrità del sistema,
quali il Public Domain Controller (PDC -Controllore del Dominio
Pubblico). Si immagini un amministratore che condivida la cartella di
avvio (o una cartella contenente la cartella di avvio) sul PDC con tutti
gli utenti. In possesso delle giuste autorizzazioni, gli utenti potrebbero
copiare facilmente degli eseguibili nella cartella di avvio, che
verrebbero
eseguiti
al
successivo
accesso
interattivo
dell’amministratore.
Nota: se si effettua la scansione avendo avuto accesso come
amministratore, si potranno visualizzare le condivisioni amministrative,
ad esempio, “C$ - default share”. Tali condivisioni non saranno
disponibili per i normali utenti.
Considerando il modo in cui Klez ed altri nuovi virus cominciano a
propagarsi, cioé tramite l’utilizzo di condivisioni aperte, tutte le
condivisioni non necessarie dovrebbero essere disattivate, mentre
tutte le condivisioni necessarie dovrebbero prevedere una password.
Politica delle password
Questo nodo consente di controllare se la politica delle password è
sicura. Ad esempio, abilita un’età massima per la password e per la
cronologia della password. La lunghezza minima della password deve
essere pratica, tipo 8 caratteri. Se si è dotati di Windows 2000, è
possibile abilitare una politica delle password protetta, su tutta la rete,
utilizzando degli GPO (Group Policy Objects) (Oggetti Criteri di
Gruppo) di Active Directory.
Registro di configurazione del sistema (Registry)
Questo nodo fornisce informazioni fondamentali sul registro di
configurazione del sistema (Registry) remoto. Fare clic sul nodo ‘Run’
(Esegui)
per
controllare
quali
programmi
sono
lanciati
automaticamente all’Avvio.
Controlla che i programmi lanciati automaticamente non siano Trojan
o addirittura programmi validi che forniscano l’accesso remoto ad una
macchina, qualora tale software non sia consentito sulla vostra rete.
Qualunque tipo di software per Accesso Remoto può rivelarsi una
back door, che un hacker potenziale può usare per guadagnare
l’accesso.
Politica di controllo della sicurezza
Questo nodo mostra quali politiche di controllo della sicurezza sono
attivate sulla macchina remota. Si raccomanda l’utilizzo delle seguenti
politiche di controllo:
Politica di controllo
Esito positivo
Esito negativo
Eventi di accesso all’account
Sì
Sì
Gestione dell’account
Sì
Sì
Accesso al servizio di Directory
Sì
Sì
Eventi di accesso
Sì
Sì
Accesso all’oggetto
Sì
Sì
Modifica della politica
Sì
Sì
Utilizzo di privilegi
No
No
Tracciabilità del processo
No
No
Eventi di sistema
Sì
Sì
È possibile abilitare il controllo direttamente da GFI LANguard N.S.S.
Fare clic con il tasto destro del mouse su uno dei computer del
pannello di sinistra e selezionare “Enable auditing” (Abilita il controllo).
Verrà visualizzato il wizard di amministrazione della politica di
controllo.
Specificare le politiche di controllo da attivare. Esistono 7 politiche di
controllo della sicurezza in Windows NT e 9 in Windows 2000.
Abilitare le politiche di controllo desiderate sui computer da
monitorare. Fare clic su ‘Next’ (Avanti) per attivare le politiche di
controllo.
Abilitazione delle politiche di controllo su macchine remote.
Se non si riscontrano errori, viene visualizzata la pagina ‘Finish’
(Fine). Se si verifica un errore, allora viene visualizzata un’altra pagina
che indica su quali computer l’applicazione delle politiche ha avuto
esito negativo.
Finestra di dialogo dei risultati del wizard della politica di controllo
Porte aperte
Il nodo delle porte aperte elenca tutte le porte aperte trovate sulla
macchina. (Si chiama scansione delle porte). GFI LANguard N.S.S.
effettua una scansione selettiva delle porte, cioè non effettua per
default la scansione di tutte le 65.535 porte TCP e di tutte le 65.535
porte UDP, ma solo le porte per le quali è stato configurato. È
possibile configurare le porte che Per ulteriori informazioni, consultare
il capitolo “Configurazione delle opzioni di scansione,
configurazione delle porte da sottoporre a scansione”.
Ogni porta aperta rappresenta un servizio o un’applicazione; se uno di
questi servizi può essere ‘sfruttato’, l’hacker è in grado di guadagnare
l’accesso a quella macchina. Pertanto, è importante chiudere
eventuali porte non necessarie.
Nota: sulle reti Windows, le porte 135, 139 e 445 sono sempre aperte.
GFI LANguard N.S.S. mostra queste porte come aperte e, se la porta
è considerata una porta Trojan conosciuta, GFI LANguard N.S.S. la
visualizzerà in ROSSO, altrimenti in VERDE. La seguente schermata
consente di vedere quanto sopra descritto:
Nota: anche se una porta è visualizzata in ROSSO come una
possibile porta Trojan, questo non significa che un programma back
door sia in effetti installato sulla macchina. Alcuni programmi validi
usano le stesse porte di alcuni Trojan conosciuti. Un programma
antivirus utilizza la stessa porta conosciuta del virus NetBus
Backdoor. Pertanto, si prega di verificare sempre le informazioni del
banner fornite e di eseguire controlli su tali macchine.
Utenti e Gruppi
Questi nodi mostrano i gruppi e gli utenti locali disponibili sul
computer. Controllano la presenza di ulteriori utenti e verificano che
l’account ‘Guest’ (Ospite) sia disabilitato. Utenti e gruppi pericolosi
possono consentire l’accesso a back door!
Alcuni programmi back door abilitano nuovamente l’account ‘Guest’
(Ospite) e conferiscono diritti amministrativi, perciò, si prega di
controllare i dettagli del nodo degli utenti per vedere l’attività di tutti gli
account e i relativi diritti.
Idealmente, l’utente non deve utilizzare un account locale per
l’accesso, ma deve effettuare il login ad un Dominio o ad un account
di Active Directory.
L’ultima cosa importante da controllare è assicurarsi che la password
non sia troppo vecchia.
Servizi
Vengono elencati tutti i servizi sulla macchina. Verificano i servizi in
esecuzione da abilitare e disabilitano tutti i servizi che non sono
richiesti. Si ricordi che ciascun servizio può costituire potenzialmente
un rischio per la sicurezza ed anche una falla nel sistema. Con la
chiusura o la disattivazione di servizi non necessari, i rischi per la
sicurezza si riducono automaticamente.
Stato delle patch di hotfix del sistema
Questo nodo mostra quali patch sono installate e registrate sulla
macchina remota.
Risultati supplementari
Questa sezione elenca i nodi e i risultati supplementari che è possibile
controllare dopo aver effettuato la revisione dei risultati di scansione
più importanti menzionati in precedenza.
Nomi NETBIOS
In questo nodo si trovano i dettagli dei servizi installati sulla macchina.
Computer
MAC – Si tratta dell’indirizzo MAC della scheda di Rete.
Nome utente – Si tratta del nome utente dell’utente collegato in quel
momento o del nome utente della macchina.
TTL – Il valore di Time to Live (TTL) (Durata in vita) è specifico per
ogni dispositivo. I valori principali sono 32, 64, 128 e 255. Sulla base
di questi valori e del TTL effettivo del pacchetto, esso dà un’idea della
distanza (numero di router hop - salti) tra la macchina GFI LANguard
N.S.S. e la macchina target che è stata appena sottoposta a
scansione.
Utilizzo del computer – Informa se la macchina target è una
Stazione di lavoro o un Server.
Dominio – Se la macchina target fa parte di un dominio, questo
fornirà un elenco dei Domini fidati.
Se non fa parte di un Dominio, verrà visualizzata la stazione di lavoro
di cui la macchina fa parte.
LAN manager – Indica il LAN Manager (Gestore LAN) in uso (e il
sistema operativo).
Sessioni
Visualizzano l’indirizzo IP di macchine che erano collegate alla
macchina target all’epoca della scansione. Nella maggioranza dei
casi, tale indirizzo è proprio quello della macchina che esegue
LANguard N.S.S. e che ha effettuato delle connessioni di recente.
Nota: a causa del costante cambiamento di questo valore, tale dato
non è salvato nel rapporto, ma è presente solo a fini informativi.
Dispositivi di rete
Forniscono un elenco di dispositivi di rete disponibili sulla macchina
target.
Base oraria remota
Base oraria remota. Si tratta dell’orario della rete sulla macchina
target, di solito impostato dal Controllore di dominio.
Esecuzione di scansioni In sede (On site) o Fuori sede (Off site)
Si consiglia di eseguire GFI LANguard N.S.S. in due modi, le
cosiddette scansioni In sede e Fuori sede.
Scansione In sede (On site)
Impostare una macchina su cui sia installato LANguard Network
Security Scanner. Effettuare una scansione della rete con una ‘NULL
session (Sessione NULLA) (Selezionare ‘Null Session‘ (Sessione
nulla) dalla casella delle opzioni a comparsa).
Una volta effettuata la prima scansione, cambiare il valore della
casella delle opzioni a comparsa in ‘Currently logged on user’
(Utente attualmente collegato) (se si dispone di diritti amministrativi
al dominio) oppure in ‘Alternative credentials’ (Credenziali
alternative) che dispongano di diritti amministrativi al Dominio o
all’Active Directory.
Salvare questa scansione per confronti futuri.
Con l’opzione ‘NULL session’ (Sessione NULLA), è possibile
visualizzare ciò che vedrebbe qualsiasi utente che si stia collegando
alla vostra rete tramite una connessione “NULLA”. La scansione
munita di diritti amministrativi aiuta a mostrare tutti gli hotfix e le patch
mancanti sulla macchina.
Scansione Fuori sede (Off Site)
Se si è dotati di un account di linea commutata esterno oppure di un
accesso ad Internet ad alta velocità non legati all’azienda, si vorrà
effettuare la scansione della propria rete dal mondo esterno.
Effettuate una scansione della rete mediante una ‘NULL session’
(Sessione NULLA). Ciò vi consentirà di visualizzare ciò che chiunque
vedrebbe da Internet se o quando effettua la scansione della vostra
rete. Elementi che possono influire su tale scansione sono eventuali
firewall installati dalla propria azienda o dal proprio ISP, ovvero
eventuali regole di un instradatore (router) che potrebbe non trasferire
determinati tipi di pacchetti.
Salvare questa scansione per confronti futuri.
Confronto fra scansioni on site e off site
È ora il momento di dare un’occhiata alle informazioni generate da
LANguard Network Security Scanner.
Se la scansione con ‘NULL session’ effettuata dalla rete interna
sembra identica a quella esterna, sappiate che non esistono firewall o
dispositivi di filtraggio sulla vostra rete. Si tratta probabilmente di una
delle prime cose da esaminare.
Quindi, verificare ciò che eventuali utenti dal mondo esterno possono
effettivamente visualizzare. Possono visualizzare i vostri controllori di
dominio ed ottenere un elenco di tutti gli account del computer?
E i server Web, FTP, ecc.?
A questo punto, dovete cavarvela da soli. Si può cominciare
controllando le patch per server Web, FTP, ecc. Si può inoltre
verificare e modificare le impostazioni sui server SMTP. Ogni rete è
diversa. GFI LANguard N.S.S. cerca di aiutarvi a individuare con
esattezza i problemi della sicurezza e di condurvi a siti che vi aiutano
a riparare le falle che trova.
Se si scopre che sono in esecuzione servizi non richiesti, assicurarsi
di disattivarli. Ogni servizio costituisce un possibile rischio per la
sicurezza che potrebbe permettere a soggetti non autorizzati a
penetrare nella vostra rete. Ogni giorno vengono rilasciati nuovi buffer
overflow ed exploit e anche se la vostra rete sembra ed è sicura oggi,
non significa che lo sia domani.
Assicurarsi di effettuare scansioni per la sicurezza di tanto in tanto.
Non si tratta di qualcosa da fare una volta e poi dimenticarsene. C’è
sempre qualcosa di nuovo là fuori e, di nuovo, solo perché si è sicuri
oggi, non si sa mai cosa saranno in grado di escogitare gli hacker
domani.
Risultati della scansione filtrata
Introduzione
Dopo aver effettuato una scansione, GFI LANguard N.S.S. riporta i
risultati nel pannello ‘Scan results’ (Risultati della scansione). Se si è
effettuata la scansione di molte macchine, si potrebbe voler filtrare
quei dati dal nodo ‘Scan filtrers’ (Filtri di scansione). Facendo clic su
questo nodo e selezionando un filtro esistente, vengono visualizzati i
risultati della scansione in base al filtro selezionato. GFI LANguard
N.S.S. è munito di un certo numero di filtri di scansione predefiniti.
Inoltre, è possibile creare filtri di scansione personalizzati.
Filtri di scansione
I filtri di scansione seguenti sono inclusi per impostazione predefinita:
Rapporto completo: Mostra tutti i dati relativi alla sicurezza raccolti
durante una scansione.
Vulnerabilità [Sicurezza alta]: Mostra problemi che richiedono
attenzione immediata – service pack e patch mancanti, vulnerabilità
della sicurezza alte e porte aperte.
Vulnerabilità [Sicurezza media]: Mostra problemi che devono
essere indirizzati dall’amministratore: vulnerabilità della sicurezza
medie, patch che non possono essere individuate.
Vulnerabilità [Tutte]: Mostra tutte le vulnerabilità individuate – patch
e service pack mancanti, possibili controlli delle informazioni, patch
Risultati della scansione filtrata • 25
che non è stato possibile individuare, vulnerabilità della sicurezza alte
e basse.
Patch e service pack mancanti: elenca tutti i service pack e i file
patch delle macchine sottoposte a scansione.
Porte aperte: elenca tutte le porte TCP e UDP.
Condivisioni aperte: elenca tutte le condivisioni aperte e chi può
accedervi.
Politiche di controllo: elenca le impostazioni della politica di
controllo su ogni computer sottoposto a scansione.
Politiche delle password: elenca le politiche delle password attive su
ogni computer sottoposto a scansione.
Gruppi e utenti: elenca gli utenti e gruppi individuati su ogni
computer sottoposto a scansione.
Proprietà del computer: Mostra le proprietà di ciascun computer.
Selezione del file source dei risultati della scansione
Per impostazione predefinita, i filtri funzioneranno sui dati di scansione
attuali. Tuttavia, è possibile selezionare un file source di dati ‘scan
results’ (risultati della scansione) diverso ed applicare i filtri al file
source di risultati della scansione salvato (che è effettivamente un file
XML). Per farlo, procedere come segue:
1. Passare al nodo ‘Scan filters’ (Filtri di scansione) del programma
dello scanner per la sicurezza GFI LANguard N.S.S.
2. Fare clic con il tasto destro del mouse e selezionare ‘Filter saved
scan results XML file…’ (File XML dei risultati di scansioni filtrati
salvato…)
3. Selezionare il file XML contenente i dati dei risultati della
scansione.
4. Tutti i filtri riportano ora i dati di tale file dei risultati della
scansione. Accanto al nodo ‘Scan Filters’ (Filtri di scansione),
viene visualizzato il file source dei dati della scansione: i dati della
scansione corrente oppure il nome del file dei risultati della
scansione che si stanno filtrando.
NOTA: se il file source dei dati per i filtri di scansione è impostato su
“Current Scan” (Scansione corrente), non sarà riportato alcun dato
finché non si procede ad una scansione.
Creazione di un filtro di scansione personalizzato
Per creare un filtro di scansione personalizzato, procedere come
segue:
1. Fare clic con il tasto destro del mouse sul nodo ‘GFI LANguard
N.S.S. > Security scanner > Scan Filters…’ (GFI LANguard N.S.S. >
Scanner per la sicurezza > Filtri di scansione…)
2. Viene visualizzata la finestra di dialogo ‘Scan Filter Properties’
(Proprietà dei filtri di scansione).
26 • Risultati della scansione filtrata
Filtri di scansione – Pagina generale
3. Assegnare un nome al filtro di scansione
4. Aggiungere eventuali condizioni di filtraggio da applicare ai dati dei
risultati di scansione utilizzando il pulsante ‘Add…’ (Aggiungi…). È
possibile creare più condizioni per il filtro. Per ogni condizione, si deve
specificare la proprietà, la condizione ed il valore. Proprietà disponibili
sono costituite dal sistema operativo, hostname, utente collegato,
dominio, service pack, condivisione, ecc.).
Finestra di dialogo delle condizioni
5. Selezionare quali categorie di informazioni si desidera visualizzare
nel filtro dalla pagina ‘Report items” (Elementi del rapporto).
Risultati della scansione filtrata • 27
6. Fare clic su ‘ok’ per creare il filtro.
Filtri di scansione – Pagina degli elementi del rapporto
Tale procedura crea un nuovo nodo permanente sotto il nodo ‘Scan
Filters’ (Filtri di scansione).
NOTA: è possibile cancellare/personalizzare eventuali filtri sotto il
nodo ‘Scan Filters’ (Filtri di scansione) facendo clic con il tasto destro
del mouse sul filtro e selezionando ‘Delete…/Properties’
(Cancella…/Proprietà), a seconda dell’operazione che si vuole
eseguire.
Esempio 1 – Trovare computer con una determinata patch
mancante
Si desidera trovare tutti i computer Windows privi della patch MS03026 (si tratta della patch del famoso virus ‘blaster’).
Definire il filtro come segue:
1. Condizione 1: il sistema operativo comprende Windows
2. Condizione 2: l’hotfix (la patch) non è installato MS03-026
Esempio 2 – Elencare tutte le stazioni Sun con un server web
Per elencare tutte le stazioni Sun che operano un server web sulla
porta 80, definire le seguenti domande:
1. il sistema operativo comprende SunOS
2. la porta TCP è aperta 80
28 • Risultati della scansione filtrata
Configurazione di GFI LANguard N.S.S.
Introduzione alla configurazione di GFI LANguard N.S.S.
È possibile configurare GFI LANguard N.S.S. dal nodo di
configurazione. Da questo nodo si possono configurare opzioni di
scansione, profili di scansione, scansioni programmate, opzioni di
allerta e molto altro.
Profili di scansione
Profili di scansione
Utilizzando i profili di scansione, è possibile configurare diversi tipi di
scansione ed usare tali scansioni per concentrarsi su particolari tipi di
informazioni che si vogliono controllare.
Si crea un profilo di scansione facendo clic con il tasto destro del
mouse sul nodo ‘Configuration > Scanning profiles’ (Configurazione >
Profili di scansione) e selezionando ‘New > Scan Profile…’ (Nuovo >
Profilo di scansione…)
Per ogni profilo si possono impostare le seguenti opzioni:
1. Porte TCP sottoposte a scansione
2. Porte UDP sottoposte a scansione
3. Dati del sistema operativo sottoposto a scansione
4. Vulnerabilità sottoposte a scansione
Configurazione di GFI LANguard N.S.S. • 29
5. Patch sottoposte a scansione
6. Proprietà dello scanner
Porte TCP/UDP sottoposte a scansione
Le schede delle porte TCP/UDP sottoposte a scansione consentono
di specificare per quali porte TCP e UDP si desidera effettuare la
scansione. Per abilitare una porta basta fare semplicemente clic sulla
casella di spunta situata accanto alla porta.
Configurazione delle porte a sottoporre a scansione in un profilo
Come aggiungere/modificare/eliminare delle porte
Se si vogliono aggiungere porte TCP/UDP personalizzate, fare clic sul
pulsante ‘Add’ (Aggiungi). Viene visualizzata la finestra di dialogo
‘Aggiungi’ della porta.
30 • Configurazione di GFI LANguard N.S.S.
Schermata 1 – Aggiunta di una porta
Immettere il numero della porta o un intervallo di porte ed inserire una
descrizione del programma che dovrebbe funzionare su quella porta.
Se il programma associato alla porta è un Trojan, fare clic sulla
casella di spunta “Is a Trojan port” (È una porta Trojan).
Se si specifica che si tratta di una porta Trojan, il cerchio verde/rosso
accanto alla porta sarà rosso
Nota: assicurarsi di inserire la porta nel Protocollo Window corretto,
TCP o UDP.
È possibile modificare o rimuovere delle porte facendo clic sui pulsanti
‘Edit’ (Modifica) o ‘Remove’ (Elimina)
Dati del sistema operativo sottoposto a scansione
La scheda dei dati del sistema operativo sottoposto a scansione
specifica il tipo di informazioni che GFI LANguard N.S.S. deve
raccogliere dal sistema operativo durante la scansione. Attualmente,
sono supportati solo i dati del sistema operativo Windows, tuttavia
sono in fase di sviluppo i dati di scansione per Unix.
Vulnerabilità sottoposte a scansione
Configurazione delle vulnerabilità da sottoporre a scansione
La scheda delle vulnerabilità sottoposte a scansione elenca tutte le
vulnerabilità che GFI LANguard N.S.S. può sottoporre a scansione. È
possibile disabilitare il controllo di tutte le vulnerabilità deselezionando la casella di spunta ‘Check for vulnerabilities’ (Ricerca le
vulnerabilità).
Per impostazione predefinita, GFI LANguard N.S.S. effettua la
scansione di tutte le vulnerabilità a lui note. È possibile modificare tale
impostazione eliminando la casella di spunta situata accanto ad una
vulnerabilità specifica.
Dal pannello di destra, è possibile modificare le opzioni di una
determinata vulnerabilità facendo doppio clic su di essa. È possibile
modificare il livello di sicurezza di un particolare controllo della
vulnerabilità dall’opzione “Security Level” (Livello di sicurezza).
Tipi di vulnerabilità
Le vulnerabilità si suddividono nelle seguenti sezioni: Patch mancanti,
patch che non possono essere individuate, abusi CGI, vulnerabilità
FTP, vulnerabilità DNS, vulnerabilità di posta, vulnerabilità RPC,
vulnerabilità di servizio, vulnerabilità del registro di configurazione del
sistema (Registry) e vulnerabilità varie.
Opzioni avanzate di controlli di vulnerabilità
Fare clic sul pulsante ‘Advanced’ (Avanzate) per accedere a tali
opzioni.
•
Controlli interni – Includono controlli di password FTP anonime,
di password deboli, ecc.
•
Scansione CGI – Avviare la scansione CGI se sono in esecuzione
server web che utilizzano CGI. In via facoltativa, è possibile
specificare un server proxy se si è localizzati dietro un server
proxy.
•
Nuove vulnerabilità sono abilitate per impostazione
predefinita – Tale opzione abilita/disabilita le vulnerabilità
aggiunte di recente da includere nelle scansioni di tutti gli altri
profili.
Scaricamento delle vulnerabilità della sicurezza più recenti
Per aggiornare le Vulnerabilità della sicurezza, selezionare ‘Help >
Check for updates’ (Aiuto > Ricerca aggiornamenti) dal programma
dello scanner GFI LANguard N.S.S. Quest’ulltimo scaricherà le
vulnerabilità della sicurezza più recenti dal sito Web di GFI. Inoltre, il
programma aggiornerà i file fingerprint (impronte digitali) utilizzati per
determinare quale sistema operativo risiede sul dispositivo.
NOTA:
all’avvio,
GFI
LANguard
N.S.S.
può
scaricare
automaticamente nuovi controlli di vulnerabilità dal sito Web di GFI. È
possibile configurare quest’opzione dal nodo ‘GFI LANguard N.S.S. >
General > Product Updates’ (GFI LANguard N.S.S. > Generale >
Aggiornamenti del prodotto)
Patch sottoposte a scansione
Configurazione delle patch da ricercare quando si effettua la scansione con un particolare
profilo.
La scheda delle patch sottoposte a scansione consente di configurare
se tale particolare profilo di scansione deve ricercare patch o service
pack mancanti.
La scheda elenca tutte le patch cercate da GFI LANguard N.S.S. È
possibile disabilitare la ricerca di determinate patch per questo profilo
disattivando la casella di spunta accanto al bollettino delle patch.
L’elenco delle patch si ottiene scaricando l’elenco di patch più recente
dal sito Web di GFI, che a sua volta si ottiene da Microsoft
(mssecure.xml). GFI ottiene l’elenco delle patch di Microsoft e ne
controlla la correttezza, poiché a volte contiene degli errori.
Espansione delle informazioni del bollettino
Per ulteriori informazioni su un determinato bollettino, fare doppio clic
su uno dei bollettini oppure fare clic con il tasto destro del mouse su di
esso e selezionare ‘Proprieties’ (Proprietà). Verranno visualizzati
ulteriori dettagli su ciò che il bollettino controlla e ciò a cui si rivolge.
Opzioni dello scanner
In questa scheda è possibile configurare le opzioni relative alle
modalità con le quali GFI LANguard N.S.S. deve effettuare una
scansione.
Proprietà dello scanner per la sicurezza
Metodi di scoperta sulla rete
Questa sezione è dedicata ai metodi che GFI LANguard N.S.S. deve
utilizzare per scoprire macchine sulla rete.
L’opzione ‘NETBIOS queries’ (Interrogazioni NETBIOS) consente
l’utilizzo delle interrogazioni (query) NetBIOS o SMB. Se sulla
Macchina Windows è installato il Client per le reti Microsoft o se su
una macchina Unix sono installati i servizi Samba, allora tali macchine
risponderanno ad interrogazioni di tipo NetBIOS.
È possibile aggiungere un parametro ‘ScopeID’ all’interrogazione
NetBIOS. È richiesto solo in alcuni casi, nei quali i sistemi sono dotati
di uno ScopeID. Se la vostra azienda è dotata di un parametro
ScopeID impostato su NetBIOS, inserirlo in questo punto.
L’opzione ‘SNMP queries’ (Interrogazioni SNMP) consente di
spedire pacchetti SNMP con la ‘Community String’ impostata nella
scheda ‘General’ (Generale).
Se il dispositivo risponde
all’interrogazione, GFI LANguard N.S.S. richiede l’identificatore
dell’oggetto (Object Identifier) dal dispositivo e lo confronta con un
database per determinare di quale dispositivo si tratta.
L’opzione ‘Ping Sweep’ effettua un ping ICMP di ciascun dispositivo
di rete. (Si veda la nota di seguito)
L’opzione ‘Custom TCP Port Discovery’ (Personalizza la scoperta
di porte TCP) ricerca una determinata porta aperta sulle macchine
target.
Nota: ciascun tipo di interrogazione summenzionato può essere
disattivato, ma GFI LANguard N.S.S. dipende da tutte queste
interrogazioni per determinare il tipo di dispositivo e il sistema
operativo residente su di esso. Se si sceglie di disattivare una di
queste interrogazioni, GFI LANguard N.S.S. può non essere affidabile
nella sua identificazione.
Nota: alcuni firewall personali bloccano una macchina persino
dall’inviare un echo ICMP e pertanto non verrà individuato da GFI
LANguard N.S.S. Se si ritiene che esistano molte macchine con
firewall personali nella propria rete, si prenda in considerazione la
possibilità di effettuare una scansione forzata di ciascun IP della rete.
Opzioni di scoperta della rete
I parametri di scoperta della rete consentono di regolare
l’individuazione delle macchine, in modo da ottenere la migliore
individuazione delle macchine nel minor tempo possibile. I parametri
di regolazione comprendono:
•
‘Scanning Delay’ (Ritardo di scansione). È il tempo atteso da
LANguard N.S.S. fra l’invio di un pacchetto TCP/UDP e l’altro. Il
valore predefinito è pari a 100ms. In base alla connessione e al
tipo di rete di cui si dispone (LAN/WAN/MAN), può essere
necessario rettificare tali impostazioni. Se l’impostazione è troppo
bassa, la rete può risultare congestionata da pacchetti inviati da
GFI LANguard N.S.S. Se invece l’impostazione è troppo alta, verrà
sprecato molto tempo inutile.
•
‘Wait for Responses’ (Attesa per la risposta). É il tempo atteso
effettivamente da GFI LANguard N.S.S. per ottenere una risposta
dal dispositivo. Se si opera su una rete lenta o occupata, può
essere necessario incrementare questa caratteristica di scadenza
da 500ms ad un valore più elevato.
•
‘Number of retries’ (Numero di tentativi). È il numero di volte
che GFI LANguard N.S.S. effettuerà ogni tipo di scansione. In
circostanze normali, quest’impostazione non deve essere
modificata. Tuttavia, se si dovesse modificare tale impostazione,
essa verrà eseguita quel dato numero di volte in tutti i tipi di
scansione (NETBIOS, SNMP, and ICMP).
•
L’opzione ‘Include non-responsive computers’ (Includi
computer che non rispondono) dà istruzione allo scanner per la
sicurezza GFI LANguard N.S.S. di tentare di effettuare la
scansione di una macchina che non abbia risposto ad alcun
metodo di scoperta della rete.
Opzioni di interrogazioni NetBIOS
L’effetto di utilizzare uno Scope ID di NetBIOS è quello di isolare un
gruppo di computer sulla rete in grado di comunicare soltanto con altri
computer configurati con un identico Scope ID di NetBIOS.
I programmi NetBIOS avviati su un computer che utilizza Scope ID di
NetBIOS non sono in grado di “vedere” (ricevere o inviare messaggi)
programmi NetBIOS avviati da un processo su un computer
configurato con uno Scope ID di NetBIOS diverso.
GFI LNSS supporta Scope ID di NETBIOS per poter effettuare la
scansione di questi computer isolati che, diversamente, sarebbero
inaccessibili.
Opzioni di interrogazioni SNMP
L’opzione ‘Load SNMP enterprise numbers’ (Carica i numeri
aziendali SNMP) consente a GFI LANguard N.S.S. di estendere il
supporto in scansioni SNMP. Se disabilitata, i dispositivi scoperti da
SNMP sconosciuti a GFI LANguard N.S.S. non riportano qual è il
presunto distributore. A meno che non si sperimentino dei problemi,
si consiglia di lasciare abilitata quest’opzione.
Per impostazione predefinita, la maggior parte dei dispositivi SNMP
abilitati utilizza la community string ‘pubblica’ predefinita, ma, per
motivi di sicurezza, gran parte degli amministratori la cambia con
qualcos’altro. Se non si è modificato il nome della community SNMP
predefinito sui dispositivi di rete, si vorrà aggiungerlo all’elenco
utilizzato da GFI LANguard N.S.S.
Nota: in questo punto, è possibile aggiungere più di un nome di
community SNMP. Per ogni nome di community aggiunto, la parte
SNMP della scansione deve essere eseguita un’altra volta. Se, nella
stringa del nome della community, si è impostato ‘pubblico’ e ‘privato’,
la scansione SNMP verrà effettuata due volte sull’intero intervallo di IP
impostato. Una volta con la stringa ‘pubblico’ e la seconda con la
stringa ’privato’.
Opzioni delle finestre di attività dello scanner
Le opzioni di uscita consentono di configurare quali informazioni
devono essere nel pannello di attività dello scanner. È utile abilitarle;
tuttavia, si consiglia di abilitare ‘Verbose’ (Verboso) o ‘Display packets’
(Visualizza i pacchetti) solo a fini di eliminazioni degli errori
(debugging) straordinarie.
Scansioni programmate
La caratteristica delle scansioni programmate consente di configurare
le scansioni che devono essere eseguite automaticamente ad una
determinata data/ora. Le scansioni programmate possono inoltre
essere effettuate periodicamente. Ciò consente di eseguire una
particolare scansione durante la notte o al primo mattino e può,
inoltre, essere utilizzata congiuntamente alla caratteristica del
confronto dei risultati, permettendo di ricevere automaticamente un
‘change report’ (rapporto delle variazioni) nella casella di posta.
Tutte le scansioni programmate sono memorizzate nel database per
impostazione predefinita. In via facoltativa, è possibile salvare tutti i
risultati delle scansioni programmate in un file XML (uno per ogni
scansione programmata). Il salvataggio può essere effettuato facendo
clic con il tasto destro del mouse sul nodo ‘Scheduled Scan’
(Scansione programmata), selezionando ‘Properties’ (Proprietà),
abilitando l’opzione ‘Save Scheduled Scan’ (Salva la scansione
programmata) e specificando un percorso per i file XML.
Configurazione di una scansione programmata
Per creare una scansione programmata, procedere come segue:
1. Nel programma dello scanner per la sicurezza GFI LANguard
N.S.S., fare clic con il tasto destro del mouse su ‘Configuration >
Scheduled scans > New > Scheduled scan…’ (Configurazione >
Scansioni programmate > Nuova > scansione programmata…)
2. Viene visualizzata la finestra di dialogo ‘New Scheduled Scan’
(Nuova scansione programmata)
Creazione di una nuova Scansione programmata
Nella finestra di dialogo ‘Nuova scansione programmata’, è possibile
configurare quanto segue:
1. ‘Scan target’ (Oggetto della scansione) specificare i nomi dei
computer o l’intervallo di IP di cui si desidera effettuare la
scansione. È possibile specificare l’oggetto della scansione come
segue:
i. ‘Host name’ (Nome dell’host) – ad esempio, ANDREMDEV
ii. l’indirizzo IP - ad esempio, 192.168.100.9
iii. l’intervallo di indirizzi IP – ad esempio, 192.168.100.1 –
192.168.100.255
iv. un file di testo contenente un elenco di computer – ad
esempio, file:c:\test.txt (il percorso completo al file). Ogni rigo
contenuto nel file può assumere qualsiasi formato o oggetto
specificato nei punti (1), (2) o (3).
2. Profilo di scansione: selezionare il profilo di scansione da utilizzare
per questa scansione programmata.
3. Scansione successiva: specificare in quale data e ora si desidera
cominciare la scansione.
4. ‘Perform a scan every’ (Effettua una scansione ogni): specificare
se si desidera effettuare la scansione una sola volta o
periodicamente.
5. Descrizione: verrà visualizzata nell’elenco delle scansioni
programmate
Fare clic su OK per creare la scansione programmata.
Per analizzare/visualizzare i risultati di scansione di una scansione
programmata, nel nodo ‘Scan filters’ (Filtri di scansione) si deve
specificare il file XML dei risultati di scansione di quella scansione
programmata. Per farlo, procedere come segue:
1. Fare clic con il tasto destro del mouse sul nodo principale “Scan
Filters” (Filtri di scansione) e selezionare “Filter saved scan results
XML file...” (File XML dei risultati di scansione filtrati salvato…)
2. Specificare il file XML dei risultati di scansione della scansione
programmata.
3. I nodi dei filtri visualizzano ora i dati del file di risultati di scansione
programmata.
File dei parametri
Il nodo dei file dei parametri fornisce un’interfaccia diretta per
modificare vari file dei parametri basati sul testo utilizzati da GFI
LANguard N.S.S. Soltanto utenti avanzati dovrebbero modificare tali
file. Se questi file fossero erroneamente modificati, ne verrebbe colpita
l’affidabilità di GFI LANguard N.S.S. nella determinazione del tipo di
dispositivo trovato.
•
Ethercodes.txt – questo file contiene molti indirizzi Mac e i relativi
distributori assegnati a quel particolare intervallo.
•
ftp.txt – questo file contiene un elenco di banner di server ftp
utilizzati internamente da GFI LNSS per determinare quale
sistema operativo risieda su quella determinata macchina, in base
al server ftp in funzione su di essa.
•
Identd.txt – questo file contiene banner ‘identd’ anch’essi utilizzati
internamente da GFI LNSS per determinare il sistema operativo
che utilizza le informazioni di banner.
•
Object_ids.txt – questo file contiene ‘object_ids’ (id dell’oggetto) e
dati relativi al distributore e prodotto di appartenenza. Quando GFI
LANguard N.S.S. trova un dispositivo che risponde a
interrogazioni SNMP, confronta le informazioni di ‘Object ID’ (ID
dell’oggetto) del dispositivo con quelle memorizzate in questo file.
•
Passwords.txt – questo file contiene un elenco di password
utilizzate per asserire debolezze di password.
•
Rpc.txt – questo file contiene una mappatura fra i numeri di
servizio riportati dal protocollo rpc e il nome del servizio associato
a quel particolare numero di servizio. Quando GFI LANguard
N.S.S. trova servizi RPC in esecuzione su una macchina (di solito
Unix o Linux), le informazioni ottenute sono paragonate a quelle di
questo file.
•
Smtp.txt – contiene un elenco di banner e dei relativi sistemi
operativi. Come nel caso dei file ftp e ident, questi banner sono
utilizzati internamente da GFI LNSS per determinare il sistema
operativo che risiede sulla macchina target.
•
Snmp-pass.txt – questo file contiene un elenco di community
string che GFI LNSS utilizza per determinare se sono disponibili
sul server SNMP target. Se disponibili, queste community string
sono rilevate dallo strumento di scansione SNMP.
•
telnet.txt – Ancora una volta, si tratta di un file che contiene vari
banner di server telnet utilizzati da GFI LNSS per determinare il
sistema operativo che risiede sulla macchina target.
•
www.txt – un file che contiene banner di server utilizzati per
determinare quale sistema operative risiede sulla macchina
target.
•
Enterprise_numbers.txt – elenca gli OID (Object Identifier – ID
dell’oggetto)
ai
codici
di
relazione
dell’azienda
(distributore/università). Se GFI LANguard N.S.S. non ottiene le
specifiche informazioni su un dispositivo quando lo rileva
(informazioni fornite dal file object_ids.txt), controlla le informazioni
sullo specifico distributore ottenute e fornisce almeno l’identità del
distributore del prodotto rilevato. Tali informazioni si basano sui
‘Network Management Private Enterprise Codes SMI’, che
possono
essere
trovati
al
sito:
http://www.iana.org/assignments/enterprise-numbers
Utilizzazione di GFI LANguard N.S.S. dalla riga per i comandi
È possibile evocare il processo di scansione dalla riga per i comandi.
Ciò consente di chiamare lo scanner da un’altra applicazione o
semplicemente su base programmata con le proprie opzioni
personalizzate.
Utilizzo:
‘lnsscmd
<Target>
[/profile=profileName]
[/report=reportPath]
[/output=pathToXmlFile]
[/user=username
/password=password]
[/email=emailAddress] [/DontShowStatus] [/?]’ (lnsscmd <Target>
[/profilo=Nome
profilo]
[/rapporto=Percorso
del
rapporto]
[/output=percorso
al
file
XML]
[/utente=nome
utente
/password=password] [/email=Indirizzo email] [/Non mostrare lo stato]
[/?])
Legenda:
/Profile Optional: (/Profilo Opzionale:) Profilo da utilizzare per la
scansione. Se non diversamente indicato, verrà utilizzato il profilo
attivo corrente.
/Output Optional: (/Output Opzionale:) Percorso completo (compreso
nome del file) dove emettere il file xml dei risultati della scansione.
/Report Optional: (/Rapporto Opzionale:) Percorso completo
(compreso nome del file) dove generare il file html del rapporto dei
risultati della scansione.
/User Optional: (/Utente Opzionale:) Effettua la scansione del
dispositivo target specificato utilizzando le credenziali alternative
specificate nei parametri ‘/User’ (/Utente) e ‘/Password’ (/Password).
/Password Optional: (/Password Opzionale:) Effettua la scansione del
dispositivo target specificato utilizzando le credenziali alternative
specificate nei parametri ‘/User’ (/Utente) e ‘/Password’ (/Password).
/Email Optional: (/Email Opzionale:) Invia il rapporto dei risultati a
quest’indirizzo email alternativo. Verrà utilizzato il server di posta
specificato
nel
nodo
‘LNSS\Configuration\Alerting
Options’
(LNSS\Configurazione\Opzioni di allerta).
/DontShowStatus Optional: (/Non mostrare lo stato Opzionale:) Non
mostra i dettagli dell’andamento della scansione.
NOTA: per i percorsi completi e i nomi dei profili, includere il nome tra
virgolette, ad esempio, “Default”, “c:\temp\test\xml”.
Esempio:
lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml"
/Report="c:\result.html" /email="[email protected]" (lnsscmd.exe
127.0.0.1
/Profilo="Default"
/Output="c:\out.xml"
/Rapporto="c:\risultato.html" /email="[email protected]”)
Quanto sopra descritto farà in modo che la riga per i comandi dello
scanner esegua una scansione di sicurezza sulla macchina 127.0.0.1,
emetta il file xml su c:\out.xml, generi il rapporto html c:\result.html
(c:\risultato.hmtl) su una volta completata la scansione e, infine, invii il
rapporto all’indirizzo email ‘[email protected]’
Impiego di patch
Introduzione alla messa in funzione di patch
Utilizzare il tool (strumento) per la messa in funzione di patch per
mantenere aggiornate le macchine NT, 2000, XP e 2003 con le patch
e i service pack più recenti. Per mettere in funzione patch e service
pack, bisogna seguire le seguenti fasi:
Fase 1: effettuare una scansione della rete
Fase 2: selezionare su quali macchine mettere in funzione le patch
Fase 3: selezionare quali patch mettere in funzione
Fase 4: scaricare i file delle patch e dei service pack
Fase 5: correggere i parametri d’impiego del file
Fase 6: utilizzare gli aggiornamenti
Per mettere in funzione le patch, si deve
•
disporre di diritti amministrativi sulla macchina su cui si sta
effettuando la scansione.
•
NETBIOS deve essere abilitato sulla macchina remota.
L’agente per la messa in funzione delle patch
GFI LANguard N.S.S. 5 utilizza un agente per la messa in funzione
delle patch che è installato automaticamente sulla macchina remota,
per impiegare patch, service pack e software personalizzato. L’agente
per la messa in funzione delle patch consiste in un servizio che
esegue l’installazione all’ora programmata, in base ai parametri
d’impiego indicati. Tale architettura risulta quindi più molto affidabile
senza utilizzare un agente per la messa in funzione delle patch.
L’agente per la messa in funzione delle patch viene installato
automaticamente senza l’intervento dell’amministratore.
Nota: non è raro che Microsoft ritiri file di patch. Quando ciò accade,
le informazioni di quella patch rimangono nel file ‘mssecure.xml’,
poiché la patch era ad un certo punto disponibile. In questi casi, GFI
LANguard NSS riporta la patch come mancante, sebbene non possa
essere installata. Se non si vuole ricevere informazioni su queste
patch mancanti, bisogna disabilitare la ricerca di quel dato bollettino
dal nodo ‘GFI LANguard N.S.S. > Configuration > Scanning Profiles >
Patches’ (GFI LANguard N.S.S. > Configurazione > Profili di
scansione > Patch).
Fase 1: effettuare una scansione della rete
GFI LANguard N.S.S. scopre patch e servizi mancanti in quanto parte
della scansione per la sicurezza. Lo fa paragonando, sulla macchina
Impiego di patch • 43
remota, le impostazioni del registro di configurazione del sistema, i
timbri temporali (data/ora) dei file e le informazioni relative alla
versione, utilizzando le informazioni fornite da Microsoft nel file
‘mssecure.xml’.
Innanzi tutto, GFI LANguard N.S.S. individua quali prodotti, di cui
possiede informazioni sulle patch, sono installati sulla macchina target
(per esempio, Microsoft Office). Dopo di che, controlla quali patch e
service pack sono disponibili per quel prodotto e spedisce le
informazioni sulla patch mancante al nodo delle ‘Missing patches’
(Patch mancanti) del nodo ‘high security vulnerabilities’ (Vulnerabilità
della sicurezza alte).
Visualizzazione di un campione di patch mancante nell’albero dei risultati della scansione
Per ogni service pack/patch mancante, GFI LANguard N.S.S. riporta
un collegamento dal quale è possibile scaricare il file della patch ed
altre informazioni relative a quel bollettino.
Le patch mancanti in via definitiva sono riportate nei nodi “Missing
patches and service packs” (“Patch e service pack mancanti) dei
risultati della scansione.
Le patch per le quali non è possibile confermare se siano installate o
no a causa della mancanza di informazioni d’individuazione, sono
riportate nel nodo “Potential vulnerabilities” (Vulnerabilità potenziali)
dei risultati della scansione.
Visualizzazione di un campione di patch non individuabili nell’albero dei risultati della scansione
Fase 2: selezionare su quali macchine mettere in funzione le patch
Dopo aver effettuato la scansione della rete, nella finestra dei rislutati
della scansione viene visualizzato l’elenco dei service pack e delle
patch mancanti. Per installare gli aggiornamenti mancanti, si devono
selezionare i computer che si vogliono aggiornare. Le patch possono
essere messe in funzione su una macchina, su tutte le macchine o su
macchine selezionate.
Per mettere in funzione le patch mancanti su un computer:
fare clic con il pulsante destro del mouse sul computer che si vuole
aggiornare ‘Deploy Microsoft updates > [type of update] > This
computer’ (Installa gli aggiornamenti di Microsoft > [tipo di
aggiornamento] > Questo computer).
44 • Impiego di patch
Per mettere in funzione le patch mancanti su tutti i computer:
fare clic con il pulsante destro del mouse su qualsiasi computer
riportato nell’albero dei risultati ‘Deploy Microsoft updates > [type of
update] > All computers’ (Installa gli aggiornamenti di Microsoft > [tipo
di aggiornamento] > Tutti i computer).
Per mettere in funzione le patch mancanti su computer
selezionati:
utilizzare le caselle di spunta sul lato sinistro dei risultati della
scansione per selezionare quali macchine si vogliono aggiornare.
Fare clic con il pulsante destro del mouse su qualsiasi computer
riportato nell’albero dei risultati ‘Deploy Microsoft updates > [type of
update] > Selected computer’ (Installa gli aggiornamenti di Microsoft >
[tipo di aggiornamento] > Computer selezionati).
Indicare su quali macchine si vogliono impiegare gli aggiornamenti richiesti.
Fase 3: selezionare quali patch mettere in funzione
Una volta selezionati i computer target su cui mettere in funzione le
patch di Microsoft, viene visualizzato il nodo ‘Deploy Microsoft
patches’ (Installa gli aggiornamenti di Microsoft). Questo nodo riporta i
dettagli dei computer selezionati e quali patch/service pack devono
essere messi in funzione su quei computer.
Sono visibili due visualizzazioni in cui è possibile gestire le opzioni
d’impiego.
(1) Ordinamento per computer: selezionare un computer e vedere
quali patch/aggiornamenti devono essere impiegati su di esso
(2) Ordinamento per patch: selezionare una patch e vedere su quali
computer manca quell’aggiornamento.
Metti in funzione il nodo delle patch di Microsoft
Per impostazione predefinita, tutte le patch vengono selezionate per la
messa in funzione. Se si vuole evitare di mettere in funzione
determinate patch, de-selezionarle facendo clic sulla casella di spunta
situata accanto alle rispettive patch.
Fase 4: scaricare i file delle patch e dei service pack
Dopo aver selezionato le patch o i service pack da mettere in
funzione, bisogna scaricare gli opportuni file che contengono le patch.
Questa operazione viene effettuata in larga misura da GFI LANguard
N.S.S. in maniera automatica. Inoltre, esso le colloca nelle directory
corrette in base al prodotto e al linguaggio del prodotto che viene
aggiornato.
GFI LANguard NSS riporta quali file di patch devono essere scaricati
Nell’elenco delle patch da mettere in funzione, GFI LANguard N.S.S.
riporta quali file vanno scaricati. Viene elencato ogni file di patch
necessario, che riporterà uno dei seguenti stati, indicati da un’icona
nell’elenco delle patch mancanti:
Scaricato
Attualmente in corso di scaricamento
In attesa che l’utente si colleghi alla pagina web per scaricare il
file.
Non scaricato
Scaricamento delle patch
Le patch di Microsoft, elencate nel file ‘mssecure.xml’, possono
essere distinte in tre categorie principali:
(1) Patch dotate di una locazione (URL) diretta per il download.
(2) Patch che richiedono di navigare in qualche pagina web nel Web
per poter scaricare il file.
(3) Patch per le quali non esiste un file di patch.
Per scaricare patch dotate di un collegamento diretto:
Per le patch dotate di un collegamento diretto per il download, fare clic
sul file di patch e selezionare “Download File” (“Scarica file”). Comicia
quindi il download e, una volta completato, il file viene messo
automaticamente nella directory corretta.
Per scaricare patch non dotate di un collegamento diretto, ma
solo di una pagina web sorgente.
Quando individua un file che deve essere scaricato manualmente dal
sito Web di Microsoft, GFI LANguard N.S.S. carica la pagina web
principale nell’area situata in fondo al tool per la messa in funzione
delle patch. Si sarà allora in grado di trovare il collegamento per il
download più opportuno e quindi di fare clic su di esso. GFI LANguard
N.S.S. controlla questa sessione Web e, non appena si fa clic su un
collegamento diretto per il download, inizia automaticamente a
scaricare quel file. La navigazione nella pagina Web fa parte della
sessione di download. Se si vuole annullare la sessione di download,
bisogna fare clic sulla patch e selezionare "Cancel Download"
(“Annulla il download”). Una volta completato il download, il file viene
messo automaticamente nella directory corretta.
Scaricamento di una patch da una pagina Web con l’ausilio dell’assistente per il download.
Fase 5: correggere i parametri d’impiego del file
In via facoltativa, è possibile configurare su una patch parametri
d’impiego alternativi, in base alle patch stesse. Per farlo, procedere
come segue:
1. Fare clic sul file di patch con il tasto destro del mouse e
selezionare ‘Properties’ (Proprietà).
2. In via facoltativa, specificare una fonte URL di download
alternativa.
3. In via facoltativa, specificare i parametri della riga per i comandi da
utilizzare durante la messa in funzione.
È possibile controllare a quale bollettino si applica una patch facendo
clic con il tasto destro del mouse sul file di patch e selezionando
“Bulletin Info…” (Informazioni sul bollettino…)
Proprietà del file di patch
Fase 6: utilizzare gli aggiornamenti
Dopo aver selezionato i computer su cui mettere in funzione le patch,
si è pronti per l’utilizzo!
Fare clic su ‘Start’ (Inizia) in basso a destra per iniziare la messa in
funzione.
Avvio della messa in funzione delle patch facendo clic su ‘Start’ (Inizia).
Inizierà ora la messa in funzione delle patch. È possibile controllare lo
stato della messa in funzione delle patch dalla scheda ‘Deployment
status’ (Stato della messa in funzione)
Monitoraggio del processo di download.
Impiego di software personalizzato
Il tool dell’impiego di software personalizzato è molto pratico per
mettere rapidamente in funzione patch personalizzate per software su
tutta la rete, oppure persino per installare software su tutta la rete. Il
tool dell’impiego di software personalizzato è inoltre usato spesso per
installare aggiornamenti di firme antivirus su tutta la rete. Il processo
d’impiego di software personalizzato è molto simile al processo di
applicazione delle patch su una macchina.
Impiego di software personalizzato
Fase 1: selezionare le macchine su cui installare il software
o le patch
1. Passare al nodo ‘Deploy custom software’ (Impiega software
personalizzato) del nodo degli strumenti (Tools).
2. Fare clic sul pulsante ‘Add’ (Aggiungi) per aggiungere un singolo
computer oppure fare clic sul pulsante ‘Select’ (Seleziona) per
scegliere una serie di computer sui quali impiegare il software
personalizzato.
Nota: è anche possibile selezionare su quali macchine mettere in
funzione il software personalizzato dal nodo ‘Security Scanner’
(Scanner per la sicurezza) e poi dal nodo ‘Tools > Enumerate
Computers ‘ (Strumenti > Enumera computer).
Fase 2: specificare il software da impiegare
Fare clic sul pulsante ‘Add…’ (Aggiungi…) della sezione “Patches:”
(Patch:) per specificare la locazione sorgente del file e specificare
eventuali parametri della riga per i comandi che devono essere
utilizzati per l’impiego del file.
Indicazione del software da impiegare
In via facoltativa, è possibile programmare un orario in cui la messa in
funzione deve aver luogo.
Fase 3: avviare il processo d’impiego
Una volta specificato il software da impiegare e i computer sui quali
deve essere impiegato, è possibile cominciare il processo d’impiego
facendo clic sul pulsante ‘Start’ (Inizia).
Impiego di patch personalizzate, che indicano quali file di patch mettere in funzione e su quali
computer.
Opzioni d’impiego
Opzioni d’impiego
È possibile configurare opzioni indugiando con il mouse sul pulsante
delle opzioni, situato sul lato destro dello schermo. In questo punto è
possibile:
•
Configurare il servizio dell’agente d’impiego perché venga
eseguito con credenziali alternative.
•
Riavviare il computer target dopo la messa in funzione. Alcune
patch richiedono il riavvio della macchina dopo l’installazione.
Spuntare questa casella se una o più patch che si vogliono
mettere in funzione richiedono il riavvio della macchina.
•
Avvertire l’utente prima della messa in funzione: invia un
messaggio alla macchina target prima di impiegare gli
aggiornamenti.
•
Arrestare i servizi prima della messa in funzione: questa opzione
arresta i servizi ISS e MS SQL Server prima della messa in
funzione.
•
Eliminare i file copiati sulle macchine remote dopo la messa in
funzione.
•
Configurare il numero di thread per la messa in funzione di patch
da utilizzare
•
Configurare particolari condizioni di filtraggio secondo cui mettere
in funzione le patch (filtri di computer)
NOTA: nel tool ‘Deploy custom patches’ (Impiego di patch
personalizzate), i ‘Computer filters’ (Filtri di computer) non saranno
applicati a computer che non siano stati sottoposti a scansione dal
tool dello scanner per la sicurezza.
Confronto tra risultati
Perchè paragonare i risultati?
Attraverso l’esecuzione di controlli regolari e la comparazione con i
risultati di scansioni precedenti, è possibile farsi un’idea di quali falle
nella sicurezza continuano a comparire o sono riaperte dagli utenti.
Questo crea una rete più sicura.
GFI LANguard Network Security Scanner aiuta a farlo consentendo di
confrontare i risultati delle varie scansioni. GFI LANguard N.S.S.
riporta le differenze e consente di prendere provvedimenti. È
possibile confrontare i risultati manualmente o tramite le scansioni
programmate.
Esecuzione di un confronto tra risultati in modo interattivo
Ogni volta che GFI LANguard N.S.S. effettua una scansione
programmata, salva il file XML dei risultati della scansione nella
directory ‘Data\Reports’ (Dati\Rapporti) della directory d’installazione
di GFI LANguard N.S.S.
È possibile inoltre salvare i risultati della scansione corrente in un file
xml, facendo clic con il pulsante destro del mouse sul nodo ‘Security
Scanner’ (Scanner per la sicurezza) e selezionando ‘Save scan
results to XML file…’ (Salva i risultati della scansione nel file XML…).
Per confrontare due file XML di risultati della scansione, procedere
come segue:
1. Passare allo strumento ‘Result comparison’ (Confronto tra risultati)
sotto ‘GFI LANguard N.S.S. > Security Scanner > Result comparison’
(GFI LANguard N.S.S. > Scanner per la sicurezza > Confronto tra
risultati).
2. Selezionare due file di risultati di scansione, eseguite con le stesse
opzioni e sulla stessa serie di computer, ma in tempi diversi e fare clic
su ‘Compare’ (Confronta).
Confronto tra risultati • 53
Comparazione dei risultati
Il risultato sarà qualcosa di simile alla schermata riportata sopra.
Illustra ciò che è stato abilitato o disabilitato ed eventuali modifiche
della rete dall’ultima scansione operata.
• La sezione ‘New items’ (Nuovi elementi) illustra i nuovi eventi che
si sono verificati dopo la prima scansione.
•
La sezione ‘Removed items’ (Elementi eliminati) illustra eventuali
dispositivi/problemi che sono stati rimossi dalla prima scansione
operata.
•
La sezione ‘Changed items’ (Elementi modificati) illustra gli
elementi che hanno subito modifiche, quali un servizio tra
scansioni che è stato abilitato oppure disabiltato.
Esecuzione di un confronto tramite l’opzione delle scansioni
programmate
Invece di effettuare manualmente la scansione della rete tutti i giorni,
settimane o mesi, è possibile impostare una scansione programmata.
Verrà eseguita una scansione programmata in modo automatico ad
una certa ora e verranno inviate via email all’amministratore le
differenze tra le scansioni programmate. Per esempio:
l’amministratore può configurare la caratteristica delle ‘Scheduled
Scan’ (Scansioni programmate) affinché effettui una scansione tutte le
notti alle ore 23. Il servizio di ricezione di GFI LANguard N.S.S.
lancerà una scansione per la sicurezza sul(i) computer target
selezionato(i) e salverà i risultati nel database centrale. Poi,
confronterà i risultati attuali con i risultati della notte precedente e
riporterà le differenze, se presenti.
NOTA: la prima volta che viene effettuata una scansione
programmata o se non vengono rilevate differenze rispetto alla
scansione precedente, GFI LANguard N.S.S. non invierà alcun
rapporto via email. Si riceverà un rapporto unicamente se è stato
modificato qualcosa.
54 • Confronto tra risultati
Strumenti
Introduzione
Nel menu ‘Tools’ (Strumenti) si trovano i seguenti strumenti:
•
•
’DNS Lookup’ (Ricerca DNS)
‘Whois Client’ (Chi è il client)‘Trace Route’ (Traccia del percorso)
•
SNMP Walk
•
‘SNMP Audit’ (Controllo SNMP)
•
‘MS SQL Server Audit’ (Controllo di MS SQL Server)
•
‘Enumerate Computers’ (Conteggio dei computer)
Ricerca DNS
Questo strumento sistema il ‘Domain Name’ (Nome del dominio) in un
indirizzo IP corrispondente e, inoltre, fornisce informazioni sul nome
del dominio: se ha un record MX, ecc.
Strumento per la ricerca DNS
Per ottenere informazioni sul nome di un dominio, procedere come
segue:
1. Andare al nodo ‘Tools > DNS lookup’ (Strumenti > Ricerca DNS).
2. Specificare l’hostname da sistemare.
3. Specificare le informazioni da acquisire:
Strumenti • 55
•
’Basic Information’ (Informazioni di base) – cioè, l’hostname e
quale IP viene sistemato
•
‘Host Information’ (Informazioni sull’host) – Note tecnicamente
come HINFO, di solito contengono informazioni come hardware e
sistema operativo che risiede sul dominio specificato (la maggior
parte degli ingressi DNS non contengono tali informazioni per
ragioni di sicurezza).
•
‘Aliases’ (Alias) – restituisce informazioni che potrebbero essere
contenute nella sezione ‘Records the Domain’ (Registra il
dominio).
•
‘MX Records’ (Record MX), noti anche come record mail
exchanger (risorse di scambio di posta), illustrano quali server di
posta sono responsabili per questo dominio e in quale ordine.
•
‘NS Records’ (Record NS) indicano quali name server sono
responsabili per questo dominio.
Inoltre, è possibile specificare un server DNS alternativo.
‘Trace Route’ (Traccia del percorso)
Strumento ‘Trace route’ (Traccia del percorso)
Questo strumento illustra il percorso di rete seguito da GFI LANguard
N.S.S. per raggiungere la macchina target. Quando si segue una
traccia del percorso, a fianco di ciascun hop è riportata un’icona:
•
•
indica un hop riuscito, ma il tempo richiesto è stato piuttosto
lungo.
•
indica un hop riuscito, ma il tempo richiesto è stato troppo
lungo
•
56 • Strumenti
indica un hop riuscito entro i normali parametri
indica che l’hop è scaduto. (cioè, è durato oltre 1.000ms)
‘Whois Client’ (Chi è il client)
Strumento ‘Whois’ (Chi è)
Questo strumento ricerca informazioni su un dominio o su un indirizzo
IP. È possibile selezionare un ‘Whois Server’ (NDT: i server che
hanno registrati tutti i dati sui domini) dall’area delle opzioni oppure si
può utilizzare l’opzione ‘Default’ (Predefinito) che selezionerà il server
in modo automatico.
SNMP Walk
SNMP walk consente di raccogliere informazioni SNMP. Il pannello di
destra contiene un elenco di nomi che simbolizzano specifici ‘Object
ID’ (ID degli oggetti) presenti sul dispositivo. Per saperne di più sulle
informazioni fornite da SNMP walk, bisogna rivolgersi al distributore.
Alcuni distributori forniscono numerosi dettagli sul significato di
ciascun dato, altri non forniscono alcuna documentazione, nonostante
i loro dispositivi supportino SNMP.
Per utilizzare l’utility, fare clic su Tools > SNMP walk (Strumenti >
SNMP walk). Immettere l’indirizzo IP di una macchina o dispositivo
che si desidera sottoporre a scansione/’walk’.
Nota: in gran parte dei casi SNMP deve essere bloccato al livello del
router/firewall, in modo che gli utenti di Internet non siano in grado di
effettuare la scansione SNMP della propria rete.
È possibile fornire community string alternative.
Nota: SNMP aiuta utenti malintenzionati ad apprendere molte
informazioni sul proprio sistema, rendendo più semplici la scoperta
delle password ed altri attacchi simili. Si consiglia vivamente di
disattivare SNMP, a meno che tale servizio non sia richiesto.
Strumenti • 57
‘SNMP Audit’ (Controllo SNMP)
Lo strumento ‘SNMP Audit’ (Controllo SNMP) consente di eseguire un
controllo SNMP su un dispositivo e di cercare community string deboli.
Alcuni dispositivi di rete sono dotati di community string alternative o
non predefinite. Il file ‘dictionary’ (dizionario) contiene un elenco di
popolari community string da verificare. Il file predefinito utilizzato da
questo strumento per l’attacco del dizionario si chiama ‘snmppass.txt’. È possibile aggiungere nuovi nomi di community a questo
file ovvero dirigere il controllo SNMP verso un file completamente
diverso.
Per utilizzare l’utility, inserire l’indirizzo IP di una macchina che
esegue SNMP e fare clic su ‘Retrieve’ (Acquisisci).
‘MS SQL Server Audit’ (Controllo di MS SQL Server)
Questo strumento consente di eseguire un controllo su
un’installazione Microsoft SQL Server. È possibile controllare sia
l’account SA (NDT: account di amministrazione) sia account SQL
Per impostazione predefinita userà il file dizionario denominato
‘passwords.txt’. È possibile aggiungere nuove password a questo file
ovvero dirigere l’utilità verso un altro file di password.
Per eseguire un controllo su server SQL, inserire l’indirizzo IP della
macchina che esegue MS SQL. Se si desidera scoprire le password di
tutti gli account SQL, si deve immettere un nome utente e una
password per accedere ad SQL e acquisire tutti gli account utente.
Strumento di controllo di account SQL
58 • Strumenti
‘Enumerate Computers’ (Conteggio dei computer)
Strumento per il conteggio dei computer
Questa utility cerca i Domini e/o Gruppi di lavoro presenti sulla vostra
rete. Una volta trovati, sarà possibile effettuare la scansione di tali
Domini per acquisire l’elenco dei computer in essi presenti. Una volta
effettuata la scansione, l’utility elenca il tipo di sistema operativo
installato su quella macchina ed eventuali commenti che possono
essere elencati tramite NETBIOS.
I computer possono essere conteggiati utilizzando uno dei seguenti
metodi:
•
da Active Directory – Questo metodo è molto più rapido e
conteggia anche i computer che in quel momento sono spenti
•
utilizzando l’interfaccia di Windows Explorer – Questo metodo è
più lento e non conteggia i computer spenti.
È possibile specificare quale metodo utilizzare dalla scheda
‘Information source’ (Sorgente delle informazioni). Si noti che bisogna
effettuare la scansione utilizzando un account che abbia diritti di
accesso ad Active Directory.
Lancio di una scansione per la sicurezza
Una volta conteggiati i computer del dominio, è possibile lanciare una
scansione su macchine selezionate facendo clic con il tasto destro del
mouse su uno dei computer conteggiati e selezionando l’opzione
‘Scan’ (Effettua la scansione).
Se si vuole lanciare la scansione e continuare ad usare lo strumento ‘
Enumerate computers’ (Conteggio dei computer), selezionare
l’opzione “Scan in background’ (Effettua la scansione in background)
Impiego di patch personalizzate
Selezionare le macchine su cui si vogliono mettere in funzione gli
aggiornamenti su ‘> Right click on any selected machine > Deploy
Strumenti • 59
Custom Patches’ (>Fare clic con il tasto destro del mouse su una
macchina selezionata > Impiego di patch personalizzate).
Abilitazione di politiche di controllo
Selezionare le macchine su cui si vogliono abilitare le politiche di
controllo su ‘> Right click on any selected machine > Enable Auditing
Policies’ (>Fare clic con il tasto destro del mouse su una macchina
selezionata > Abilita politiche di controllo…).
Conteggio di utenti
La funzione di ‘Enumerate users’ (Conteggio di utenti) si connette ad
Active Directory e acquisisce tutti gli utenti e i contatti presenti in
Active Directory.
60 • Strumenti
Aggiunta di controlli di vulnerabilità
tramite condizioni o script
Introduzione
GFI LANguard N.S.S. permette di aggiungere rapidamente controlli
della vulnerabilità personalizzati. Tale operazione può essere
effettuata in 2 modi: scrivendo uno script o utilizzando una serie di
condizioni. Qualunque sia il metodo utilizzato, si deve aggiungere la
vulnerabilità attraverso l’interfaccia dello scanner per la Sicurezza ed
indicare il nome dello script oppure le condizioni che devono essere
applicate.
Nota: solo utenti espertidevono creare nuove Vulnerabilità, poiché una
configurazione imprecisa delle Vulnerabilità produrrebbe falsi positivi o
non fornirebbe alcuna informazione sulle Vulnerabilità.
Linguaggio VBscript di GFI LANguard N.S.S.
GFI LANguard N.S.S. include un linguaggio scripting compatibile con
VBscript. Questo linguaggio è stato creato per semplificare l’aggiunta
di controlli personalizzati. Consente inoltre a GFI LANguard N.S.S. di
aggiungere rapidamente nuovi controlli di vulnerabilità e di renderli
disponibili per il download. Il prodotto comprende un editor con
capacità di evidenziazione della sintassi e un debugger.
Per ulteriori informazioni sulle modalità di scrittura degli script, si
rimanda al file di aiuto ‘’Scripting documentation’ (Documentazione di
scripting), accessibile dal gruppo di programmi GFI LANguard N.S.S.
NOTA IMPORTANTE: GFI non è in grado di fornire il supporto per la
creazione di script che non funzionano. È possibile inviare eventuali
quesiti sullo scripting di GFI LANguard N.S.S. al forum di GFI
LANguard, alla pagina http://forums.languard.com , dove è possibile
condividere script e idee con altri utenti di GFI LANguard N.S.S.
Aggiunta di un controllo di vulnerabilità che utilizza uno script
personalizzato
È possibile aggiungere controlli di vulnerabilità che utilizzano uno
script personalizzato. È possibile creare tali script personalizzati
utilizzando l’editor o il debugger di GFI LANguard NSS. Per farlo,
procedere come segue:
Fase 1: creazione dello script
1. Lanciare il programma GFI LANguard N.S.S. Script Debugger
selezionando ‘Start > Programs > GFI LANguard Network Security
Aggiunta di controlli di vulnerabilità tramite condizioni o script • 61
Scanner > Script Debugger’ (Avvio > Programmi > GFI LANguard
Network Security Scanner > Script Debugger)
2. ‘File > New…’ (File > Nuovo…)
3. ‘Create a script’ (Creare uno script). Ad esempio, si può utilizzare il
seguente script fittizio e immetterlo nel debugger:
‘Function Main’ (Funzione Principale)
eco “Script has run successfully (Lo script è stato eseguito con
successo)”
‘Main = true’ (Principale = vero)
‘End Function’ (Fine Funzione)
4. Salvare il file, ad esempio, "c:\myscript.vbs"
Fase 2: aggiunta del nuovo controllo di vulnerabilità:
1. Passare al nodo ‘GFI LANguard N.S.S. Main Program >
Configuration > Scanning Profiles’ (GFI LANguard N.S.S. Programma
principale > Configurazione > Profili di scansione).
2. Passare alla scheda delle ‘Scanned Vulnerabilities’ (Vulnerabilità
sottoposte a scansione) e selezionare la categoria cui deve
appartenere la nuova vulnerabilità. Ora fare clic sul pulsante ‘Add’
(Aggiungi). Viene visualizzata la finestra di dialogo ‘New vulnerability
Check’ (Nuovo controllo di vulnerabilità).
Aggiunta del nuovo controllo di vulnerabilità
3. Immettere quindi i dettagli minimi quali: il nome, una breve
descrizione, il livello di sicurezza, l’URL (ove applicabile). È anche
possibile specificare il tempo necessario per eseguire questo
controllo.
62 • Aggiunta di controlli di vulnerabilità tramite condizioni o script
4. Fare ora clic con il tasto destro del mouse sull’elenco di condizioni
‘Trigger’ (Di Attivazione) e selezionare “Add check” (Aggiungi
controllo)
5. Selezionare ‘Script’ nell’elenco dei tipi di ‘Check’ (Controlli).
Selezione dello script che contiene il codice di controllo di vulnerabilità
6. Specificare la locazione dello script "c:\myscript.vbs". Fare clic su
‘Add’ (Aggiungi) per aggiungere vulnerabilità. Verrà eseguito durante
la successiva scansione per vulnerabilità.
7. Per metterlo alla prova, basta semplicemente effettuare la
scansione della macchina host locale e si vedrà l’avviso di
vulnerabilità nella sezione “vulnerabilità varie” del nodo delle
vulnerabilità dei risultati di scansione.
Aggiunta di un controllo CGI
È anche possibile aggiungere vulnerabilità senza scrivere degli script.
Per esempio, un controllo di vulnerabilità CGI. Per farlo, procedere
come segue:
2. Passare alla scheda ‘Scanned Vulnerabilities’ (Vulnerabilità
sottoposte a scansione) e selezionare il nodo delle vulnerabilità CGI.
Ora fare clic sul pulsante ‘Add’ (Aggiungi). Viene visualizzata la
finestra di dialogo ‘new CGI vulnerability check’ (Nuovo controllo di
vulnerabilità CGI).
Creazione di nuove Vulnerabilità CGI
3. Immettere ora i dettagli minimi, quali il nome, una breve
controllo.
4. Specificare il metodo HTTP: i 2 metodi supportati da GFI
LANguard N.S.S. nella sua sezione ‘CGI abuse’ (Abuso CGI) sono
GET e HEAD.
5. Specificare l’URL da controllare: si tratta dell’URL che GFI
LANguard N.S.S. deve interrogare.
6: Specificare la ‘Return String:’ (Stringa di ritorno): si tratta di ciò
che GFI LANguard N.S.S. deve cercare nell’informazione resa per
vedere se la macchina è vulnerabile nei confronti di questo attacco.
Aggiunta di altri controlli di vulnerabilità
È anche possibile aggiungere vulnerabilità senza scrivere degli script.
Utilizzano lo stesso formato di base del controllo di vulnerabilità CGI,
tuttavia è possibile impostare condizioni più complesse. Per farlo,
procedere come segue:
2. Passare alla scheda ‘Scanned Vulnerabilities’ (Vulnerabilità
sottoposte a scansione) e selezionare il tipo di vulnerabilità che si
desidera aggiungere facendo clic sulla categoria cui la nuova
vulnerabilità dovrà appartenere. Ora fare clic sul pulsante ‘Add’
(Aggiungi). Viene visualizzata la finestra di dialogo ‘New vulnerability
Check’ (Nuovo controllo di vulnerabilità).
Creazione di una nuova Vulnerabiltà
3. Immettere ora i dettagli minimi, quali il nome, una breve
controllo.
4. Si deve poi specificare cosa controllare. Per aggiungere qualcosa
da controllare, fare clic con il pulsante destro del mouse nella finestra
‘Trigger condition’ (Attiva condizione) e aggiungere un nuovo
controllo.
5. È possibile specificare uno dei seguenti elementi per stabilire un
contrassegno delle vulnerabilità di:
•
•
Sistema operativo
o
è
o
non è
Chiave di registro
o
o
esiste
non esiste
Nota: funziona solo con HKEY_LOCAL_MACHINE
•
Percorso di Registro
o
o
esiste
non esiste
•
Valore di Registro
o
è pari a
o
non è pari a
o è minore di
o è maggiore di
•
•
•
•
•
•
•
•
•
•
Service pack
o
o
è
non è
o
è inferiore a
o
è superiore a
Hotfix
o
o
è installato
non è installato
o
è installato
o
non è installato
IIS
Versione IIS
o
è
o
non è
o
è inferiore a
o
è superiore a
Servizio RPC
o
è installato
o
non è installato
Servizio NT
o
è installato
o
non è installato
Esecuzione del servizio NT
o
è in esecuzione
o
non è in esecuzione
Tipo di avvio del servizio NT
o
automatico
o
manuale
o
disabilitato
Porta (TCP)
o
è aperta
o
è chiusa
Porta UDP
o
è aperta
o
è chiusa
•
Banner FTP
è
o
o non è
Nota: è possibile creare espressioni che ricerchino versioni da 1.0 a
1.4 e versioni da 2.0 a 2.2, ma non versioni da 1.5 a 1.9. Si vedano
gli esempi di seguito.
•
Banner HTTP
o
è
o non è
Nota: è possibile creare espressioni che ricerchino versioni
da 1.0 a 1.4 e versioni da 2.0 a 2.2, ma non versioni da 1.5 a
1.9. Si vedano gli esempi di seguito.
•
Banner SMTP
o
è
o non è
•
Banner POP3
o
è
o non è
•
Banner DNS
o
è
o non è
•
Banner SSH
o
è
o non è
•
Banner Telnet
o
è
o non è
•
Script
o
restituisce Vero (1)
o
restituisce Falso (0)
6. Come si può notare, ogni opzione summenzionata è dotata della
propria serie di criteri sui quali può essere basato il controllo di
vulnerabilità. Se si creano controlli di vulnerabilità troppo generici, si
ricevono troppi rapporti falsi. Pertanto, se si decide di creare i propri
controlli di vulnerabilità, accertarsi di progettarli in modo molto
specifico e di pensarci e pianificarli molto bene.
Non è necessario attivare un controllo di vulnerabilità solo con un
elemento di quelli sopra elencati; si può impostare il controllo per più
condizioni, ad esempio:
•
Controlla il Sistema Operativo
•
la porta XYZ
•
il banner “ABC”
•
script LANS, esecuzione QRS e controlla la vulnerabilità
Se vengono soddisfatti tutti i criteri precedenti, allora e soltanto allora,
viene attivato il controllo di vulnerabilità.
Nota: la creazione di espressioni consente di eseguire un controllo di
vulnerabilità come quello seguente, utilizzato per controllare la
versione di Apache presente su una macchina: ~.*Apache/(1\.([02]\.[0-9]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[08])).
Per coloro che sono esperti del linguaggio C o Perl, il formato sopra
descritto è lo stesso utilizzato in tali linguaggi. Esistono molte pagine
di aiuto su Internet sulle modalità di utilizzo di questo formato. Negli
esempi successivi cerchermo di spiegarlo, ma per ulteriore aiuto,
consultare la fine della presente sessione per un collegamento
ipertestuale.
Qaualora si desideri vedere un esempio di creazione di una nuova
Vulnerabilità contenente uno script, consultare la “Documentazione
sullo scripting di GFI LANguard N.S.S.”
Risoluzione dei problemi
Introduzione
Questo capitolo descrive come risolvere eventuali problemi con il
prodotto. Le principali fonti di informazioni disponibili per gli utenti
sono le seguenti:
1. Il presente manuale – la maggior parte dei problemi può essere
risolta leggendo il manuale.
2. La knowledgebase di GFI – http://kbase.gfi.com.
3. Il sito del supporto GFI – http://support.gfi.com
4. Contattando l’assistenza
[email protected]
tecnica
di
GFI
all’indirizzo
email
5. Contattando l’assistenza tecnica di GFI attraverso il servizio di
LiveSupport all’indirizzo http://support.gfi.com/livesupport.asp
6. Contattando telefonicamente il nostro servizio di assistenza
tecnica.
Knowledgebase
GFI mantiene una knowlegdebase contenente le risposte ai problemi
più comuni. In caso di problemi, consultare prima la knowledgebase. Il
sito Web con la knowledgebase dispone sempre dell’elenco più
aggiornato delle richieste di assistenza e delle patch.
La knowledgebase è disponibile sul sito: http://kbase.gfi.com
Richiesta di assistenza tramite email
Se il problema non può essere risolto neanche dopo aver consultato
la knowledgebase ed il presente manuale, è possibile contattare il
reparto assistenza di GFI. Il modo migliore per contattarlo è tramite
email, perché così si possono inserire informazioni di cruciale
importanza, quali un allegato che consentirà a noi di risolvere il
problema più rapidamente.
Il Troubleshooter (Esperto nella risoluzione dei problemi), compreso
nel gruppo di programmi, genera automaticamente un certo numero di
file richiesti da GFI per fornire l’assistenza tecnica. I file contengono le
impostazioni di configurazione, ecc. Per generare questi file, avviare il
troubleshooter e seguire le istruzioni dell’applicazione.
Inoltre, per ottenere tutte le possibili informazioni, saranno anche
poste delle domande. Si usi il tempo necessario per rispondere a tali
domande in modo accurato. Senza informazioni adeguate non sarà
possibile diagnosticare in modo corretto il problema.
Risoluzione dei problemi • 69
Passare quindi alla directory dell’assistenza, situata sotto la directory
del programma principale, ‘ZIP the files’ (Compatta i file) e inviare i
file appena generati all’indirizzo email: [email protected].
Accertarsi innanzitutto di avere registrato il proprio prodotto sul
nostro sito Web: http://www.gfi-italia.com/pages/regfrm.htm!
Risponderemo alla richiesta entro 24 ore o meno, a seconda del fuso
orario.
Richiesta di supporto tramite web-chat
E’ anche possibile richiedere assistenza attraverso LiveSupport (webchat).
E’ possibile contattare il servizio assistenza di GFI utilizzando il
servizio
LiveSupport
all’indirizzo
http://support.gfi.com/livesupport.aspAssicurarsi innanzitutto di
avere registrato il proprio prodotto sul nostro sito Web:
http://www.gfi.com/pages/regfrm.htm !
Richiesta di supporto telefonico
E’ anche possibile contattare GFI telefonicamente e richiedere
assistenza tecnica. A tale proposito, si prega di consultare il sito web
per i corretti recapiti telefonici e i nostri orari di ufficio, in base alla
vostra sede.
Sito web di supporto:
http://support.gfi.com
Assicurarsi innanzitutto di avere registrato il proprio prodotto sul
nostro sito Web: http://www.gfi.com/pages/regfrm.htm !
Forum via Web
E’ disponibile un servizio di supporto utente-utente tramite il forum via
web. Si può accedere al forum dal sito:
http://forums.gfi.com/
Notifiche di aggiornamento delle versioni
Raccomandiamo fortemente di iscriversi alla nostra lista di notifiche di
aggiornamento delle versioni. In questo modo sarete immediatamente
informati sulla creazione di nuovi prodotti. Per sottoscrivere tale
servizio, andare sul sito:
http://support.gfi.com
70 • Risoluzione dei problemi
T
Traccia del percorso 56
Indice analitico
U
Users (Utenti) 61
Utenti 5, 19
Utenti) 61
X
‘
XML 6
‘SNMP Audit’ (Controllo
SNMP) 58
C
Condivisioni 5, 6, 17
D
DNS ricerca DNS 55
G
gruppi 5, 20
H
Hot fixes(Hotfix) 21
HTML 6
L
Licenza 7
P
Password 6
Politica delle password 18
politica di sicurezza 5
Politica di sicurezza 5
Porte aperte 6
R
Registry (Registro di
configurazione del
sistema – Registry) 18
Requisiti di sistema 9
ricerca DNS 55
Ricerca DNS 57, 58, 59, 60
S
Servizi 6
Sistema Operativo 6
Sistema Operativo 6
SNMP 14, 58
Risoluzione dei problemi • 71

Manuale - GFI Italia

Transcript

Documenti analoghi

LANguard Network Security Scanner 3.3

Gestione delle vulnerabilità, scansione di sicurezza della rete e

Installazione di GFI LANguard Network Security Scanner

Notti, weekend e festività: ogni momento è

Cod. Articolo 41.560 9622B010 - 4549292013344