Manuale - GFI Italia
Transcript
Manuale - GFI Italia
GFI LANguard Network Security Scanner 5 Manuale GFI Software Ltd. GFI SOFTWARE Ltd. http://www.gfi-italia.com Email: [email protected] Le informazioni contenute in questo documento sono soggette a modifica senza preavviso. Le società, i nomi e i dati utilizzati negli esempi sono fittizi se non indicato diversamente. Nessuna parte del presente documento può essere riprodotta o trasmessa in qualsiasi forma o tramite qualsiasi mezzo, elettronico o meccanico, per qualsiasi scopo, senza il permesso esplicito e scritto di GFI SOFTWARE Ltd. LANguard è copyright di GFI SOFTWARE Ltd. 2000-2004 GFI SOFTWARE Ltd. Tutti i diritti riservati. Versione 5.0 – Ultimo aggiornamento 12 gennaio 2004 Indice Introduzione 5 Introduzione a GFI LANguard Network Security Scanner............................................. 5 Importanza della sicurezza della rete interna................................................................ 5 Caratteristiche principali ................................................................................................ 6 Elementi di GFI LANguard N.S.S. ................................................................................. 7 Schema di Licenza ........................................................................................................ 7 Installazione di GFI LANguard Network Security Scanner 9 Requisiti di Sistema ....................................................................................................... 9 Procedura d’installazione .............................................................................................. 9 Inserimento del Codice seriale dopo l’installazione .................................................... 11 Guida introduttiva: esecuzione di un controllo 13 Introduzione alle verifiche di sicurezza........................................................................ 13 Esecuzione di una scansione ...................................................................................... 13 Analisi dei risultati di scansione................................................................................... 15 IP, nome della macchina, sistema operativo e livello del service pack.....................................................................................................15 Nodo delle vulnerabilità ...................................................................................15 Il nodo delle vulnerabilità potenziali.................................................................16 Condivisioni .....................................................................................................17 Politica delle password ....................................................................................18 Registro di configurazione del sistema (Registry) ...........................................18 Politica di controllo della sicurezza..................................................................18 Porte aperte .....................................................................................................19 Utenti e Gruppi ................................................................................................20 Servizi ..............................................................................................................20 Stato delle patch di hotfix del sistema .............................................................21 Risultati supplementari ................................................................................................ 21 Computer .........................................................................................................21 Esecuzione di scansioni In sede (On site) o Fuori sede (Off site) .............................. 22 Scansione In sede (On site) ............................................................................22 Scansione Fuori sede (Off Site) ......................................................................22 Confronto fra scansioni on site e off site .........................................................22 Risultati della scansione filtrata 25 Introduzione ................................................................................................................. 25 Selezione del file source dei risultati della scansione ................................................. 26 Creazione di un filtro di scansione personalizzato ...................................................... 26 Configurazione di GFI LANguard N.S.S. 29 Introduzione alla configurazione di GFI LANguard N.S.S. .......................................... 29 Profili di scansione....................................................................................................... 29 Porte TCP/UDP sottoposte a scansione ..................................................................... 30 Come aggiungere/modificare/eliminare delle porte.........................................30 Dati del sistema operativo sottoposto a scansione ..................................................... 31 Vulnerabilità sottoposte a scansione........................................................................... 32 Manuale di GFI LANguard N.S.S. Indice • i Tipi di vulnerabilità...........................................................................................32 Scaricamento delle vulnerabilità della sicurezza più recenti ..........................33 Patch sottoposte a scansione...................................................................................... 33 Opzioni dello scanner .................................................................................................. 34 Metodi di scoperta sulla rete............................................................................35 Scansioni programmate............................................................................................... 37 File dei parametri......................................................................................................... 39 Utilizzazione di GFI LANguard N.S.S. dalla riga per i comandi .................................. 40 Impiego di patch 43 Introduzione alla messa in funzione di patch .............................................................. 43 L’agente per la messa in funzione delle patch ................................................43 Fase 1: effettuare una scansione della rete ................................................................ 43 Fase 2: selezionare su quali macchine mettere in funzione le patch.......................... 44 Fase 3: selezionare quali patch mettere in funzione ................................................... 45 Fase 4: scaricare i file delle patch e dei service pack ................................................. 46 Scaricamento delle patch ................................................................................46 Fase 5: correggere i parametri d’impiego del file ........................................................ 47 Fase 6: utilizzare gli aggiornamenti ............................................................................. 48 Impiego di software personalizzato ............................................................................. 49 Fase 1: selezionare le macchine su cui installare il software o le patch ............................................................................................................50 Fase 2: specificare il software da impiegare ...................................................50 Fase 3: avviare il processo d’impiego .............................................................51 Opzioni d’impiego ........................................................................................................ 52 Confronto tra risultati 53 Perchè paragonare i risultati?...................................................................................... 53 Esecuzione di un confronto tra risultati in modo interattivo......................................... 53 Esecuzione di un confronto tramite l’opzione delle scansioni programmate ............................................................................................................... 54 Strumenti 55 Introduzione ................................................................................................................. 55 Ricerca DNS ................................................................................................................ 55 ‘Trace Route’ (Traccia del percorso) ........................................................................... 56 ‘Whois Client’ (Chi è il client) ....................................................................................... 57 SNMP Walk ................................................................................................................. 57 ‘SNMP Audit’ (Controllo SNMP) .................................................................................. 58 ‘MS SQL Server Audit’ (Controllo di MS SQL Server)................................................. 58 ‘Enumerate Computers’ (Conteggio dei computer) ..................................................... 59 Lancio di una scansione per la sicurezza........................................................59 Impiego di patch personalizzate......................................................................59 Abilitazione di politiche di controllo..................................................................60 Conteggio di utenti....................................................................................................... 60 Aggiunta di controlli di vulnerabilità tramite condizioni o script 61 Introduzione ................................................................................................................. 61 Linguaggio VBscript di GFI LANguard N.S.S. ............................................................. 61 Aggiunta di un controllo di vulnerabilità che utilizza uno script personalizzato.............................................................................................................. 61 Fase 1: creazione dello script..........................................................................61 Fase 2: aggiunta del nuovo controllo di vulnerabilità: .....................................62 Aggiunta di un controllo CGI........................................................................................ 63 Aggiunta di altri controlli di vulnerabilità ...................................................................... 64 Risoluzione dei problemi Indice • ii 69 Manuale di GFI LANguard N.S.S. Introduzione ................................................................................................................. 69 Knowledgebase ........................................................................................................... 69 Richiesta di assistenza tramite email .......................................................................... 69 Richiesta di supporto tramite web-chat ....................................................................... 70 Richiesta di supporto telefonico................................................................................... 70 Forum via Web ............................................................................................................ 70 Notifiche di aggiornamento delle versioni.................................................................... 70 Indice analitico 71 Manuale di GFI LANguard N.S.S. Indice • iii Introduzione Introduzione a GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) è uno strumento che permette agli amministratori di rete di effettuare un controllo di sicurezza della rete rapidamente e con facilità. GFI LANguard N.S.S. crea rapporti che possono essere utilizzati per risolvere i problemi della sicurezza di una rete. È anche in grado di eseguire la gestione delle patch. A differenza di altri scanner per la sicurezza, GFI LANguard N.S.S. non crea una “raffica” di informazioni, virtualmente impossibile da seguire. Piuttosto, aiuta a mettere in rilievo le informazioni più importanti. Fornisce inoltre collegamenti ipertestuali a siti sicuri per saperne di più su queste vulnerabilità. Utilizzando la scansione intelligente, GFI LANguard N.S.S. raccoglie informazioni sulle macchine, quali nomi utente e gruppi, che possono contenere oggetti pericolosi che consentano l’accesso a back door (porte di servizio), condivisioni di reti e oggetti simili trovati su un Dominio di Windows. A parte questo, GFI LANguard N.S.S. identifica anche vulnerabilità specifiche, come, problemi di configurazione in server FTP, exploit in Microsoft IIS e Apache Web Server ovvero problemi di configurazione della politica di sicurezza in NT, oltre a molti altri possibili problemi di sicurezza. Importanza della sicurezza della rete interna La sicurezza della rete interna è, molto frequentemente, sottostimata dai suoi amministratori. Molto spesso, questa sicurezza non esiste nemmeno e consente ad un utente di accedere facilmente alla macchina di un altro utente, utilizzando exploit ben noti, relazioni di fiducia e impostazioni predefinite. La maggior parte di questi attacchi non richiede particolari abilità, ma mette a repentaglio l’integrità della rete. Gran parte dei dipendenti non ha bisogno di accedere né dovrebbe avere accesso alle macchine altrui, a funzioni amministrative, dispositivi di rete e così via. Tuttavia, a causa della flessibilità richiesta per la normale gestione, le reti interne non possono permettersi una sicurezza massima. D’altro canto, senza alcuna sicurezza, gli utenti interni possono costituire una grave minaccia per molte reti aziendali interne. All'interno dell'azienda, un utente ha già accesso a molte risorse interne e non ha bisogno di superare firewall o altri meccanismi di sicurezza che impediscono a fonti non fidate, come gli utenti di Internet, di accedere alla rete interna. Tali utenti interni, dotati di Manuale di GFI LANguard N.S.S. Introduzione • 5 capacità da hacker, possono penetrare ed ottenere diritti remoti di amministrazione di reti, garantendosi, allo stesso modo, che il loro abuso risulti difficile da identificare o persino da scoprire. L’80% degli attacchi di reti, infatti, ha origine all’interno del firewall (ComputerWorld, gennaio 2002). Una sicurezza della rete scarsa comporta inoltre che, se un hacker esterno riesce a penetrare nel computer della vostra rete, può accedere più facilmente al resto della rete interna. Ciò consentirebbe ad un attacker di leggere e probabilmente divulgare email confidenziali e documenti, cestinare computer, comportando la perdita di informazioni e molto altro. Per non parlare, poi, dell’utilizzo della rete e delle risorse di rete per cominciare ad attaccare altri siti, il che, una volta scoperto, farà risalire a voi e alla vostra azienda, non all’hacker. La maggioranza degli attacchi, contro exploit conosciuti, potrebbe essere riparata facilmente e quindi arrestata dagli amministratori se fossero, innanzi tutto, a conoscenza della vulnerabilità. La funzione di GFI LANguard N.S.S. è di assistere gli amministratori nell’identificazione di tali vulnerabilità. Caratteristiche principali 6 • Introduzione • Scopre servizi pericolosied apre porte TCP e UDP. • Individua CGI, DNS, FTP, Posta, RPC e altre vulnerabilità conosciute • Individua il file Rogue oppure utenti back door • Individua condivisioni Aperte • Enumerazione di utenti, servizi, ecc. • Può effettuare Scansioni Programmate • Aggiorna automaticamente Sicurezza • Capacità di individuare hotfix e service pack mancanti nel sistema operative. • Capacità di individuare hotfix e service pack mancanti nelle applicazioni supportate. • Capacità di effettuare confronti tra scansioni, di apprendere nuovi possibili punti di entrata • Capacità di correggere il sistema operativo (sistemi Windows in lingua inglese) e applicazioni di Office (in inglese, francese, tedesco, italiano, spagnolo) • Identificazione del sistema operativo.Individuazione del live host • Uscite HTML, XSL e XML • Controllo di SNMPe MS SQL • Compatibile con il linguaggio di scritp VBscript per realizzare controlli di vulnerabilità personalizzati i controlli di vulnerabilità della Manuale di GFI LANguard N.S.S. Elementi di GFI LANguard N.S.S. GFI LANguard N.S.S. è basato su un'architettura di tipo aziendale ed è composto dei seguenti elementi GFI LANguard Network Security Scanner Si tratta dell’interfaccia principale del prodotto. Utilizzare quest’applicazione per visualizzare i risultati della scansione in tempo reale, configurando le opzioni e i profili di scansione, i rapporti dei filtri, l’utilizzo di strumenti amministrativi specializzati della sicurezza e molto altro. Servizio di ricezione di GFI LANguard N.S.S. Questo servizio esegue scansioni programmate della rete e impieghi programmati delle patch. Funziona in background. Servizio di agente delle patch di GFI LANguard N.S.S. Questo servizio è messo in funzione sulle macchine target sulle quali deve utilizzata una patch, un service pack o un programma e si occupa dell’effettiva installazione della patch, del service pack e del programma. GFI LANguard N.S.S. Script Debugger Utilizzare questo modulo per scrivere/correggere script personali creati. Schema di Licenza Lo schema di licenza di GFI LANguard N.S.S. funziona in base al numero di macchine e dispositivi che si desidera sottoporre a scansione. Ad esempio, la licenza 100 IP consente di effettuare la scansione di fino a 100 macchine o dispositivi da una singola stazione di lavoro o server della vostra rete. Manuale di GFI LANguard N.S.S. Introduzione • 7 Installazione di GFI LANguard Network Security Scanner Requisiti di Sistema L’installazione di GFI LANguard Network Security Scanner necessita dei seguenti requisiti: • Windows 2000/2003 o Windows XP • Internet Explorer 5.1 o superiore. • Deve essere installato Microsoft Networks • Durante le scansioni, non possono essere eseguiti software per firewall personali oppure Windows XP Internet Connection Firewall. Possono bloccare la funzionalità di GFI LANguard N.S.S. • La messa in funzione di patch su macchine remote richiede che si disponga di privilegi da amministratore Procedura d’installazione 1. Eseguire il programma d’installazione di LANguard Network Security Scanner facendo doppio clic sul file ‘lannetscan.exe’. Confermare che si desidera installare GFI LANguard N.S.S. Viene quindi avviato il wizard dell’installazione. Fare clic su ‘Next’ (Avanti). 2. Dopo aver letto il Contratto di licenza nella finestra di dialogo, fare clic su Yes (Sì), per accettare le condizioni contrattuali e proseguire con l’installazione. 3. La procedura d’installazione richiede le informazioni sull’utente e il codice seriale. Manuale di GFI LANguard N.S.S. Installazione di GFI LANguard Network Security Scanner • 9 Specificazione delle credenziali dell’amministratore del dominio o utilizzare un account di sistema locale 4. La procedura d'installazione richiede le credenziali dell’amministratore del dominio che saranno utilizzate dal servizio di ricezione di LANguard N.S.S (LANguard N.S.S Attendant), esecutore delle scansioni programmate. Immettere le credenziali richieste e fare clic su 'Next’ (Avanti). Scelta del terminale database 5. La procedura d’installazione richiede di scegliere il terminale database per il database di GFI LANguard N.S.S. Scegliere tra Microsoft Access o Microsoft SQL Server\MSDE e fare clic su ‘Next’ (Avanti). 10 • Installazione di GFI LANguard Network Security Scanner Manuale di GFI LANguard N.S.S. NOTA: SQL Server/MSDE deve essere installato in modalità mista o di autenticazione del server SQL. Non è supportata la sola modalità di autenticazione NT. 6. Se si seleziona Microsoft SQL Server/MSDE come terminale database, verranno richieste le credenziali SQL da utilizzare per accedere al database. Fare clic su ‘Next’ (Avanti) per continuare. 7. La procedura d’installazione richiede l’indirizzo email di un amministratore ed il nome del server di posta. Tali impostazioni verranno utilizzate per inviare messaggi amministrativi di allerta. 8. Scegliere il luogo di destinazione GFI LANguard N.S.S. e fare clic su Next (Avanti). GFI LANguard N.S.S. richiede circa 40 MB di spazio libero sul disco fisso. 9. Dopo che GFI LANguard N.S.S. è stato installato, è possibile eseguire GFI LANguard Network Security Scanner dal menu di avvio. Inserimento del Codice seriale dopo l’installazione Se è stato acquistato GFI LANguard N.S.S., è possibile inserire il Codice seriale nel nodo ‘General > Licensing’ (Generale > Licenza). Se si sta valutando GFI LANguard N.S.S., il periodo di valutazione ha una durata di 60 giorni (con il codice di valutazione). Se si decide poi di acquistare GFI LANguard N.S.S., inserire il Codice seriale in questo punto, senza reinstallare il prodotto. Si deve ottenere un numero di licenze di GFI LANguard N.S.S. pari al numero di macchine che si desidera sottoporre a scansione e al numero di macchine sullle quali si desidera eseguirlo. Se ci sono 3 amministratori che utilizzano GFI LANguard N.S.S., allora si dovranno acquistare 3 licenze. L’inserimento del Codice seriale non va confuso con la procedura di registrazione dei dati dell’azienda sul nostro sito Web. Questa seconda fase è molto importante in quanto ci consente di fornire il supporto e comunicare notizie importanti relative al prodotto. Registratevi alla pagina: http://www.gfi-italia.com/pages/regfrm.htm Nota: per scoprire come acquistare GFI LANguard N.S.S., seguire il nodo General > How to purchase (Generale > Come acquistare). Manuale di GFI LANguard N.S.S. Installazione di GFI LANguard Network Security Scanner • 11 Guida introduttiva: esecuzione di un controllo Introduzione alle verifiche di sicurezza Il controllo delle risorse di rete consente all'amministratore di identificare eventuali rischi all'interno della rete. Un controllo manuale richiederebbe molto tempo, a causa dei task e delle procedure ripetitivi da effettuare su ogni macchina della rete. GFI LANguard N.S.S. rende automatico il processo di controllo della sicurezza e identifica facilmente vulnerabilità comuni nell’ambito della rete in tempi brevi. Nota: se la vostra azienda utilizza un qualunque tipo di software per la scoperta di intrusioni (Intrusion Detection Software – IDS), sappiate che l’utilizzo di LANguard Network Security Scanner attiverà quasi tutti i campanelli e i fischietti in esso contenuti. Se non si è responsabili del sistema IDS, assicurarsi di informare l’amministratore di quel campo o di quei campi della scansione che si sta per effettuare. Oltre all'avvertenza relativa al software IDS, si tenga presente che saranno rivelate molte scansioni negli archivi storici (log file) per tutte le categorie. I log Unix, i server web, ecc. mostreranno il tentativo messo in atto dalla macchina che esegue LANguard Network Security Scanner. Se non si è l’unico amministratore presso la propria sede, assicurarsi che gli altri amministratori siano informati delle scansioni che si stanno per effettuare. Esecuzione di una scansione Il primo passo da compiere, quando si comincia un controllo della rete, consiste nell’effettuare una scansione delle macchine e dei dispositivi di rete correnti. Per iniziare una nuova scansione della rete, procedere come segue: 1. Fare clic su File > New (File > Nome) 2. Selezionare l’oggetto della scansione. Si può scegliere fra le seguenti opzioni: a. Scan one Computer (Esegui la scansione di un computer) – Esegue la scansione di una singola macchina. b. Scan Range of Computers (Esegui la scansione di una serie di computer) - Esegue la scansione di una serie di IP specificata. c. Scan List of Computers (Esegui la scansione di un elenco di computer) – Esegue la scansione di un elenco di computer personalizzato. È possibile aggiungere computer Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo • 13 all’elenco selezionandoli da un elenco di computer enumerativi, immettendoli uno per uno oppure importando l’elenco da un file di testo. d. Scan a Domain (Esegui la scansione di un dominio) – Esegue la scansione di un intero dominio di Windows. 3. Imputare l’intervallo d'inizio e fine della rete di cui effettuare la scansione, in base a ciò che si intende sottoporre a scansione. 4. selezionare Start Scan (Avvia scansione) Esecuzione di una scansione LANguard Network Security Scanner effettua ora una scansione. Innanzi tutto, individua quali host/computer sono accesi ed effettua la scansione solo di questi. Ciò avviene utilizzando prove NETBIOS, interrogativi ping ICMP e SNMP Se un dispositivo non risponde ad una sua richiesta, GFI LANguard N.S.S. presume, per il momento, che il dispositivo non esiste a tale indirizzo IP specifico ovvero che sia spento. Nota: se si intende forzare una scansione su IMPS che non rispondono, consultare il capitolo “Configurazione delle opzioni di scansione” per informazioni relative a tale configurazione. 14 • Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S. Analisi dei risultati di scansione Analisi dei risultati Dopo la scansione, risultano visualizzati dei nodi sotto ciascuna macchina trovata da GFI LANguard N.S.S. Il pannello di sinistra elenca tutte le macchine e i dispositivi di rete. L’espansione di una voce dell’elenco, espone una serie di nodi con le informazioni trovate su tale macchina o dispositivo di rete. Facendo clic su un dato nodo, nel pannello di destra vengono visualizzate le informazioni sottoposte a scansione. Quando GFI LANguard N.S.S. esegue una prova di rete, troverà tutti i dispositivi di rete accesi in quel momento. Secondo il tipo di dispositivo e di interrogativi cui questo ha risposto, viene determinato il modo in cui GFI LANguard N.S.S. lo identifica e quali informazioni è in grado di acquisire. Una volta che GFI LANguard N.S.S. ha terminato la scansione della macchina/dispositivo/rete, visualizza le seguenti informazioni: IP, nome della macchina, sistema operativo e livello del service pack Viene mostrato l’indirizzo IP della macchina/dispositivo. Viene poi mostrato il nome del DNS NetBIOS, secondo il tipo di dispositivo. GFI LANguard N.S.S. indica quale sistema operativo è in esecuzione sul dispositivo e, se si tratta di Windows NT/2000/XP/2003, indica il livello di service pack. Nodo delle vulnerabilità Il nodo delle vulnerabilità visualizza problemi di sicurezza individuati e suggerisce la maniera per risolverli. Queste minacce possono comprendere patch e service pack mancanti, problemi di HTTP, messaggi di allerta di NETBIOS, problemi di configurazione e così via. Le vulnerabilità si suddividono nelle seguenti sezioni: service pack mancanti, patch mancanti, vulnerabilità della sicurezza elevate, Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo • 15 vulnerabilità della sicurezza medie e vulnerabilità della sicurezza basse. Sotto ciascuna sezione delle vulnerabilità della sicurezza Elevate/Medie/Basse, si trovano ulteriori categorie dei problemi individuati, con i seguenti raggruppamenti: abusi CGI, vulnerabilità FTP, vulnerabilità DNS, vulnerabilità della posta, vulnerabilità RPC, vulnerabilità di servizio, vulnerabilità del Registro di configurazione del sistema (Registry) e vulnerabilità varie. Patch mancanti - GFI LANguard N.S.S. ricerca eventuali patch mancanti confrontando le patch installate con le patch disponibili di un determinato prodotto. Se sulla macchina mancano eventuali patch, si dovrebbe visualizzare una schermata simile alla seguente: Innanzi tutto, informa per quale prodotto è la patch. Se si espande il nodo, si potrà visualizzare la patch specifica mancante e un collegamento al sito da cui scaricare quella particolare patch. Abusi CGI – descrivono problemi relativi a server Apache, Netscape, IIS e altri server web. Le vulnerablità FTP, DNS, di posta, RPC e varie forniscono collegamenti a Bugtrag ed altri siti per la sicurezza, in modo che sia possibile cercare ulteriori informazioni sul problema scoperto da GFI LANguard N.S.S. Le vulnerabilità di servizio possono essere molte cose. Qualsiasi cosa, dai servizi effettivi in esecuzione sul dispositivo in questione agli account elencati su una macchina che non sia mai stata usata. Le vulnerabilità del Registro di configurazione del sistema (Registry) coprono informazioni tratte da una macchina Windows quando GFI LANguard N.S.S. effettua la scansione iniziale. Forniscono un collegamento al sito di Microsoft o ad altri siti dedicati alla sicurezza, che spiegano perché tali impostazioni del registro di configurazione del sistema (Registry) devono essere modificate. Le vulnerabilità d’informazione sono messaggi di allerta aggiunti al database, che costituiscono problemi abbastanza importanti da sottoporre all'attenzione degli amministratori, ma che non sempre sono dannosi se vengono lasciati aperti. Il nodo delle vulnerabilità potenziali Il nodo delle vulnerabilità potenziali visualizza problemi di sicurezza possibili, informazioni cruciali ed anche alcuni controlli che non possono essere eseguiti. Ad esempio, se non è possibile determinare se una particolare patch sia installata, questa sarà elencata nel nodo delle Patch non individuabili. Tali vulnerabilità potenziali devono essere riviste dall’amministratore. 16 • Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S. Il nodo delle vulnerabilità potenziali Condivisioni Il nodo delle condivisioni elenca tutte le condivisioni presenti su una macchina e chi ha accesso ad una condivisione. Tutte le condivisioni di rete devono essere protette in maniera opportuna. Gli amministratori devono accertarsi che: 1. Nessun utente condivida il proprio drive con altri utenti. 2. Non è consentito l’accesso anonimo o non autenticato alle condivisioni. 3. Le cartelle di avvio o i file di sistema simili non sono condivise. Questo può consentire ad un numero inferiore di utenti privilegiati di eseguire codici sulle macchine target. Quanto sopra è molto importante per tutte le macchine, ma, in particolare, per macchine che sono cruciali per l’integrità del sistema, quali il Public Domain Controller (PDC -Controllore del Dominio Pubblico). Si immagini un amministratore che condivida la cartella di avvio (o una cartella contenente la cartella di avvio) sul PDC con tutti gli utenti. In possesso delle giuste autorizzazioni, gli utenti potrebbero copiare facilmente degli eseguibili nella cartella di avvio, che verrebbero eseguiti al successivo accesso interattivo dell’amministratore. Nota: se si effettua la scansione avendo avuto accesso come amministratore, si potranno visualizzare le condivisioni amministrative, ad esempio, “C$ - default share”. Tali condivisioni non saranno disponibili per i normali utenti. Considerando il modo in cui Klez ed altri nuovi virus cominciano a propagarsi, cioé tramite l’utilizzo di condivisioni aperte, tutte le condivisioni non necessarie dovrebbero essere disattivate, mentre tutte le condivisioni necessarie dovrebbero prevedere una password. Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo • 17 Politica delle password Questo nodo consente di controllare se la politica delle password è sicura. Ad esempio, abilita un’età massima per la password e per la cronologia della password. La lunghezza minima della password deve essere pratica, tipo 8 caratteri. Se si è dotati di Windows 2000, è possibile abilitare una politica delle password protetta, su tutta la rete, utilizzando degli GPO (Group Policy Objects) (Oggetti Criteri di Gruppo) di Active Directory. Registro di configurazione del sistema (Registry) Questo nodo fornisce informazioni fondamentali sul registro di configurazione del sistema (Registry) remoto. Fare clic sul nodo ‘Run’ (Esegui) per controllare quali programmi sono lanciati automaticamente all’Avvio. Controlla che i programmi lanciati automaticamente non siano Trojan o addirittura programmi validi che forniscano l’accesso remoto ad una macchina, qualora tale software non sia consentito sulla vostra rete. Qualunque tipo di software per Accesso Remoto può rivelarsi una back door, che un hacker potenziale può usare per guadagnare l’accesso. Politica di controllo della sicurezza Questo nodo mostra quali politiche di controllo della sicurezza sono attivate sulla macchina remota. Si raccomanda l’utilizzo delle seguenti politiche di controllo: Politica di controllo Esito positivo Esito negativo Eventi di accesso all’account Sì Sì Gestione dell’account Sì Sì Accesso al servizio di Directory Sì Sì Eventi di accesso Sì Sì Accesso all’oggetto Sì Sì Modifica della politica Sì Sì Utilizzo di privilegi No No Tracciabilità del processo No No Eventi di sistema Sì Sì È possibile abilitare il controllo direttamente da GFI LANguard N.S.S. Fare clic con il tasto destro del mouse su uno dei computer del pannello di sinistra e selezionare “Enable auditing” (Abilita il controllo). Verrà visualizzato il wizard di amministrazione della politica di controllo. Specificare le politiche di controllo da attivare. Esistono 7 politiche di controllo della sicurezza in Windows NT e 9 in Windows 2000. Abilitare le politiche di controllo desiderate sui computer da monitorare. Fare clic su ‘Next’ (Avanti) per attivare le politiche di controllo. 18 • Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S. Abilitazione delle politiche di controllo su macchine remote. Se non si riscontrano errori, viene visualizzata la pagina ‘Finish’ (Fine). Se si verifica un errore, allora viene visualizzata un’altra pagina che indica su quali computer l’applicazione delle politiche ha avuto esito negativo. Finestra di dialogo dei risultati del wizard della politica di controllo Porte aperte Il nodo delle porte aperte elenca tutte le porte aperte trovate sulla macchina. (Si chiama scansione delle porte). GFI LANguard N.S.S. effettua una scansione selettiva delle porte, cioè non effettua per Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo • 19 default la scansione di tutte le 65.535 porte TCP e di tutte le 65.535 porte UDP, ma solo le porte per le quali è stato configurato. È possibile configurare le porte che Per ulteriori informazioni, consultare il capitolo “Configurazione delle opzioni di scansione, configurazione delle porte da sottoporre a scansione”. Ogni porta aperta rappresenta un servizio o un’applicazione; se uno di questi servizi può essere ‘sfruttato’, l’hacker è in grado di guadagnare l’accesso a quella macchina. Pertanto, è importante chiudere eventuali porte non necessarie. Nota: sulle reti Windows, le porte 135, 139 e 445 sono sempre aperte. GFI LANguard N.S.S. mostra queste porte come aperte e, se la porta è considerata una porta Trojan conosciuta, GFI LANguard N.S.S. la visualizzerà in ROSSO, altrimenti in VERDE. La seguente schermata consente di vedere quanto sopra descritto: Nota: anche se una porta è visualizzata in ROSSO come una possibile porta Trojan, questo non significa che un programma back door sia in effetti installato sulla macchina. Alcuni programmi validi usano le stesse porte di alcuni Trojan conosciuti. Un programma antivirus utilizza la stessa porta conosciuta del virus NetBus Backdoor. Pertanto, si prega di verificare sempre le informazioni del banner fornite e di eseguire controlli su tali macchine. Utenti e Gruppi Questi nodi mostrano i gruppi e gli utenti locali disponibili sul computer. Controllano la presenza di ulteriori utenti e verificano che l’account ‘Guest’ (Ospite) sia disabilitato. Utenti e gruppi pericolosi possono consentire l’accesso a back door! Alcuni programmi back door abilitano nuovamente l’account ‘Guest’ (Ospite) e conferiscono diritti amministrativi, perciò, si prega di controllare i dettagli del nodo degli utenti per vedere l’attività di tutti gli account e i relativi diritti. Idealmente, l’utente non deve utilizzare un account locale per l’accesso, ma deve effettuare il login ad un Dominio o ad un account di Active Directory. L’ultima cosa importante da controllare è assicurarsi che la password non sia troppo vecchia. Servizi Vengono elencati tutti i servizi sulla macchina. Verificano i servizi in esecuzione da abilitare e disabilitano tutti i servizi che non sono richiesti. Si ricordi che ciascun servizio può costituire potenzialmente un rischio per la sicurezza ed anche una falla nel sistema. Con la chiusura o la disattivazione di servizi non necessari, i rischi per la sicurezza si riducono automaticamente. 20 • Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S. Stato delle patch di hotfix del sistema Questo nodo mostra quali patch sono installate e registrate sulla macchina remota. Risultati supplementari Questa sezione elenca i nodi e i risultati supplementari che è possibile controllare dopo aver effettuato la revisione dei risultati di scansione più importanti menzionati in precedenza. Nomi NETBIOS In questo nodo si trovano i dettagli dei servizi installati sulla macchina. Computer MAC – Si tratta dell’indirizzo MAC della scheda di Rete. Nome utente – Si tratta del nome utente dell’utente collegato in quel momento o del nome utente della macchina. TTL – Il valore di Time to Live (TTL) (Durata in vita) è specifico per ogni dispositivo. I valori principali sono 32, 64, 128 e 255. Sulla base di questi valori e del TTL effettivo del pacchetto, esso dà un’idea della distanza (numero di router hop - salti) tra la macchina GFI LANguard N.S.S. e la macchina target che è stata appena sottoposta a scansione. Utilizzo del computer – Informa se la macchina target è una Stazione di lavoro o un Server. Dominio – Se la macchina target fa parte di un dominio, questo fornirà un elenco dei Domini fidati. Se non fa parte di un Dominio, verrà visualizzata la stazione di lavoro di cui la macchina fa parte. LAN manager – Indica il LAN Manager (Gestore LAN) in uso (e il sistema operativo). Sessioni Visualizzano l’indirizzo IP di macchine che erano collegate alla macchina target all’epoca della scansione. Nella maggioranza dei casi, tale indirizzo è proprio quello della macchina che esegue LANguard N.S.S. e che ha effettuato delle connessioni di recente. Nota: a causa del costante cambiamento di questo valore, tale dato non è salvato nel rapporto, ma è presente solo a fini informativi. Dispositivi di rete Forniscono un elenco di dispositivi di rete disponibili sulla macchina target. Base oraria remota Base oraria remota. Si tratta dell’orario della rete sulla macchina target, di solito impostato dal Controllore di dominio. Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo • 21 Esecuzione di scansioni In sede (On site) o Fuori sede (Off site) Si consiglia di eseguire GFI LANguard N.S.S. in due modi, le cosiddette scansioni In sede e Fuori sede. Scansione In sede (On site) Impostare una macchina su cui sia installato LANguard Network Security Scanner. Effettuare una scansione della rete con una ‘NULL session (Sessione NULLA) (Selezionare ‘Null Session‘ (Sessione nulla) dalla casella delle opzioni a comparsa). Una volta effettuata la prima scansione, cambiare il valore della casella delle opzioni a comparsa in ‘Currently logged on user’ (Utente attualmente collegato) (se si dispone di diritti amministrativi al dominio) oppure in ‘Alternative credentials’ (Credenziali alternative) che dispongano di diritti amministrativi al Dominio o all’Active Directory. Salvare questa scansione per confronti futuri. Con l’opzione ‘NULL session’ (Sessione NULLA), è possibile visualizzare ciò che vedrebbe qualsiasi utente che si stia collegando alla vostra rete tramite una connessione “NULLA”. La scansione munita di diritti amministrativi aiuta a mostrare tutti gli hotfix e le patch mancanti sulla macchina. Scansione Fuori sede (Off Site) Se si è dotati di un account di linea commutata esterno oppure di un accesso ad Internet ad alta velocità non legati all’azienda, si vorrà effettuare la scansione della propria rete dal mondo esterno. Effettuate una scansione della rete mediante una ‘NULL session’ (Sessione NULLA). Ciò vi consentirà di visualizzare ciò che chiunque vedrebbe da Internet se o quando effettua la scansione della vostra rete. Elementi che possono influire su tale scansione sono eventuali firewall installati dalla propria azienda o dal proprio ISP, ovvero eventuali regole di un instradatore (router) che potrebbe non trasferire determinati tipi di pacchetti. Salvare questa scansione per confronti futuri. Confronto fra scansioni on site e off site È ora il momento di dare un’occhiata alle informazioni generate da LANguard Network Security Scanner. Se la scansione con ‘NULL session’ effettuata dalla rete interna sembra identica a quella esterna, sappiate che non esistono firewall o dispositivi di filtraggio sulla vostra rete. Si tratta probabilmente di una delle prime cose da esaminare. Quindi, verificare ciò che eventuali utenti dal mondo esterno possono effettivamente visualizzare. Possono visualizzare i vostri controllori di dominio ed ottenere un elenco di tutti gli account del computer? E i server Web, FTP, ecc.? A questo punto, dovete cavarvela da soli. Si può cominciare controllando le patch per server Web, FTP, ecc. Si può inoltre verificare e modificare le impostazioni sui server SMTP. Ogni rete è diversa. GFI LANguard N.S.S. cerca di aiutarvi a individuare con 22 • Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S. esattezza i problemi della sicurezza e di condurvi a siti che vi aiutano a riparare le falle che trova. Se si scopre che sono in esecuzione servizi non richiesti, assicurarsi di disattivarli. Ogni servizio costituisce un possibile rischio per la sicurezza che potrebbe permettere a soggetti non autorizzati a penetrare nella vostra rete. Ogni giorno vengono rilasciati nuovi buffer overflow ed exploit e anche se la vostra rete sembra ed è sicura oggi, non significa che lo sia domani. Assicurarsi di effettuare scansioni per la sicurezza di tanto in tanto. Non si tratta di qualcosa da fare una volta e poi dimenticarsene. C’è sempre qualcosa di nuovo là fuori e, di nuovo, solo perché si è sicuri oggi, non si sa mai cosa saranno in grado di escogitare gli hacker domani. Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo • 23 Risultati della scansione filtrata Introduzione Dopo aver effettuato una scansione, GFI LANguard N.S.S. riporta i risultati nel pannello ‘Scan results’ (Risultati della scansione). Se si è effettuata la scansione di molte macchine, si potrebbe voler filtrare quei dati dal nodo ‘Scan filtrers’ (Filtri di scansione). Facendo clic su questo nodo e selezionando un filtro esistente, vengono visualizzati i risultati della scansione in base al filtro selezionato. GFI LANguard N.S.S. è munito di un certo numero di filtri di scansione predefiniti. Inoltre, è possibile creare filtri di scansione personalizzati. Filtri di scansione I filtri di scansione seguenti sono inclusi per impostazione predefinita: Rapporto completo: Mostra tutti i dati relativi alla sicurezza raccolti durante una scansione. Vulnerabilità [Sicurezza alta]: Mostra problemi che richiedono attenzione immediata – service pack e patch mancanti, vulnerabilità della sicurezza alte e porte aperte. Vulnerabilità [Sicurezza media]: Mostra problemi che devono essere indirizzati dall’amministratore: vulnerabilità della sicurezza medie, patch che non possono essere individuate. Vulnerabilità [Tutte]: Mostra tutte le vulnerabilità individuate – patch e service pack mancanti, possibili controlli delle informazioni, patch Manuale di GFI LANguard N.S.S. Risultati della scansione filtrata • 25 che non è stato possibile individuare, vulnerabilità della sicurezza alte e basse. Patch e service pack mancanti: elenca tutti i service pack e i file patch delle macchine sottoposte a scansione. Porte aperte: elenca tutte le porte TCP e UDP. Condivisioni aperte: elenca tutte le condivisioni aperte e chi può accedervi. Politiche di controllo: elenca le impostazioni della politica di controllo su ogni computer sottoposto a scansione. Politiche delle password: elenca le politiche delle password attive su ogni computer sottoposto a scansione. Gruppi e utenti: elenca gli utenti e gruppi individuati su ogni computer sottoposto a scansione. Proprietà del computer: Mostra le proprietà di ciascun computer. Selezione del file source dei risultati della scansione Per impostazione predefinita, i filtri funzioneranno sui dati di scansione attuali. Tuttavia, è possibile selezionare un file source di dati ‘scan results’ (risultati della scansione) diverso ed applicare i filtri al file source di risultati della scansione salvato (che è effettivamente un file XML). Per farlo, procedere come segue: 1. Passare al nodo ‘Scan filters’ (Filtri di scansione) del programma dello scanner per la sicurezza GFI LANguard N.S.S. 2. Fare clic con il tasto destro del mouse e selezionare ‘Filter saved scan results XML file…’ (File XML dei risultati di scansioni filtrati salvato…) 3. Selezionare il file XML contenente i dati dei risultati della scansione. 4. Tutti i filtri riportano ora i dati di tale file dei risultati della scansione. Accanto al nodo ‘Scan Filters’ (Filtri di scansione), viene visualizzato il file source dei dati della scansione: i dati della scansione corrente oppure il nome del file dei risultati della scansione che si stanno filtrando. NOTA: se il file source dei dati per i filtri di scansione è impostato su “Current Scan” (Scansione corrente), non sarà riportato alcun dato finché non si procede ad una scansione. Creazione di un filtro di scansione personalizzato Per creare un filtro di scansione personalizzato, procedere come segue: 1. Fare clic con il tasto destro del mouse sul nodo ‘GFI LANguard N.S.S. > Security scanner > Scan Filters…’ (GFI LANguard N.S.S. > Scanner per la sicurezza > Filtri di scansione…) 2. Viene visualizzata la finestra di dialogo ‘Scan Filter Properties’ (Proprietà dei filtri di scansione). 26 • Risultati della scansione filtrata Manuale di GFI LANguard N.S.S. Filtri di scansione – Pagina generale 3. Assegnare un nome al filtro di scansione 4. Aggiungere eventuali condizioni di filtraggio da applicare ai dati dei risultati di scansione utilizzando il pulsante ‘Add…’ (Aggiungi…). È possibile creare più condizioni per il filtro. Per ogni condizione, si deve specificare la proprietà, la condizione ed il valore. Proprietà disponibili sono costituite dal sistema operativo, hostname, utente collegato, dominio, service pack, condivisione, ecc.). Finestra di dialogo delle condizioni 5. Selezionare quali categorie di informazioni si desidera visualizzare nel filtro dalla pagina ‘Report items” (Elementi del rapporto). Manuale di GFI LANguard N.S.S. Risultati della scansione filtrata • 27 6. Fare clic su ‘ok’ per creare il filtro. Filtri di scansione – Pagina degli elementi del rapporto Tale procedura crea un nuovo nodo permanente sotto il nodo ‘Scan Filters’ (Filtri di scansione). NOTA: è possibile cancellare/personalizzare eventuali filtri sotto il nodo ‘Scan Filters’ (Filtri di scansione) facendo clic con il tasto destro del mouse sul filtro e selezionando ‘Delete…/Properties’ (Cancella…/Proprietà), a seconda dell’operazione che si vuole eseguire. Esempio 1 – Trovare computer con una determinata patch mancante Si desidera trovare tutti i computer Windows privi della patch MS03026 (si tratta della patch del famoso virus ‘blaster’). Definire il filtro come segue: 1. Condizione 1: il sistema operativo comprende Windows 2. Condizione 2: l’hotfix (la patch) non è installato MS03-026 Esempio 2 – Elencare tutte le stazioni Sun con un server web Per elencare tutte le stazioni Sun che operano un server web sulla porta 80, definire le seguenti domande: 1. il sistema operativo comprende SunOS 2. la porta TCP è aperta 80 28 • Risultati della scansione filtrata Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. Introduzione alla configurazione di GFI LANguard N.S.S. È possibile configurare GFI LANguard N.S.S. dal nodo di configurazione. Da questo nodo si possono configurare opzioni di scansione, profili di scansione, scansioni programmate, opzioni di allerta e molto altro. Profili di scansione Profili di scansione Utilizzando i profili di scansione, è possibile configurare diversi tipi di scansione ed usare tali scansioni per concentrarsi su particolari tipi di informazioni che si vogliono controllare. Si crea un profilo di scansione facendo clic con il tasto destro del mouse sul nodo ‘Configuration > Scanning profiles’ (Configurazione > Profili di scansione) e selezionando ‘New > Scan Profile…’ (Nuovo > Profilo di scansione…) Per ogni profilo si possono impostare le seguenti opzioni: 1. Porte TCP sottoposte a scansione 2. Porte UDP sottoposte a scansione 3. Dati del sistema operativo sottoposto a scansione 4. Vulnerabilità sottoposte a scansione Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. • 29 5. Patch sottoposte a scansione 6. Proprietà dello scanner Porte TCP/UDP sottoposte a scansione Le schede delle porte TCP/UDP sottoposte a scansione consentono di specificare per quali porte TCP e UDP si desidera effettuare la scansione. Per abilitare una porta basta fare semplicemente clic sulla casella di spunta situata accanto alla porta. Configurazione delle porte a sottoporre a scansione in un profilo Come aggiungere/modificare/eliminare delle porte Se si vogliono aggiungere porte TCP/UDP personalizzate, fare clic sul pulsante ‘Add’ (Aggiungi). Viene visualizzata la finestra di dialogo ‘Aggiungi’ della porta. 30 • Configurazione di GFI LANguard N.S.S. Manuale di GFI LANguard N.S.S. Schermata 1 – Aggiunta di una porta Immettere il numero della porta o un intervallo di porte ed inserire una descrizione del programma che dovrebbe funzionare su quella porta. Se il programma associato alla porta è un Trojan, fare clic sulla casella di spunta “Is a Trojan port” (È una porta Trojan). Se si specifica che si tratta di una porta Trojan, il cerchio verde/rosso accanto alla porta sarà rosso Nota: assicurarsi di inserire la porta nel Protocollo Window corretto, TCP o UDP. È possibile modificare o rimuovere delle porte facendo clic sui pulsanti ‘Edit’ (Modifica) o ‘Remove’ (Elimina) Dati del sistema operativo sottoposto a scansione La scheda dei dati del sistema operativo sottoposto a scansione specifica il tipo di informazioni che GFI LANguard N.S.S. deve raccogliere dal sistema operativo durante la scansione. Attualmente, sono supportati solo i dati del sistema operativo Windows, tuttavia sono in fase di sviluppo i dati di scansione per Unix. Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. • 31 Vulnerabilità sottoposte a scansione Configurazione delle vulnerabilità da sottoporre a scansione La scheda delle vulnerabilità sottoposte a scansione elenca tutte le vulnerabilità che GFI LANguard N.S.S. può sottoporre a scansione. È possibile disabilitare il controllo di tutte le vulnerabilità deselezionando la casella di spunta ‘Check for vulnerabilities’ (Ricerca le vulnerabilità). Per impostazione predefinita, GFI LANguard N.S.S. effettua la scansione di tutte le vulnerabilità a lui note. È possibile modificare tale impostazione eliminando la casella di spunta situata accanto ad una vulnerabilità specifica. Dal pannello di destra, è possibile modificare le opzioni di una determinata vulnerabilità facendo doppio clic su di essa. È possibile modificare il livello di sicurezza di un particolare controllo della vulnerabilità dall’opzione “Security Level” (Livello di sicurezza). Tipi di vulnerabilità Le vulnerabilità si suddividono nelle seguenti sezioni: Patch mancanti, patch che non possono essere individuate, abusi CGI, vulnerabilità FTP, vulnerabilità DNS, vulnerabilità di posta, vulnerabilità RPC, vulnerabilità di servizio, vulnerabilità del registro di configurazione del sistema (Registry) e vulnerabilità varie. Opzioni avanzate di controlli di vulnerabilità Fare clic sul pulsante ‘Advanced’ (Avanzate) per accedere a tali opzioni. • Controlli interni – Includono controlli di password FTP anonime, di password deboli, ecc. • Scansione CGI – Avviare la scansione CGI se sono in esecuzione server web che utilizzano CGI. In via facoltativa, è possibile 32 • Configurazione di GFI LANguard N.S.S. Manuale di GFI LANguard N.S.S. specificare un server proxy se si è localizzati dietro un server proxy. • Nuove vulnerabilità sono abilitate per impostazione predefinita – Tale opzione abilita/disabilita le vulnerabilità aggiunte di recente da includere nelle scansioni di tutti gli altri profili. Scaricamento delle vulnerabilità della sicurezza più recenti Per aggiornare le Vulnerabilità della sicurezza, selezionare ‘Help > Check for updates’ (Aiuto > Ricerca aggiornamenti) dal programma dello scanner GFI LANguard N.S.S. Quest’ulltimo scaricherà le vulnerabilità della sicurezza più recenti dal sito Web di GFI. Inoltre, il programma aggiornerà i file fingerprint (impronte digitali) utilizzati per determinare quale sistema operativo risiede sul dispositivo. NOTA: all’avvio, GFI LANguard N.S.S. può scaricare automaticamente nuovi controlli di vulnerabilità dal sito Web di GFI. È possibile configurare quest’opzione dal nodo ‘GFI LANguard N.S.S. > General > Product Updates’ (GFI LANguard N.S.S. > Generale > Aggiornamenti del prodotto) Patch sottoposte a scansione Configurazione delle patch da ricercare quando si effettua la scansione con un particolare profilo. La scheda delle patch sottoposte a scansione consente di configurare se tale particolare profilo di scansione deve ricercare patch o service pack mancanti. La scheda elenca tutte le patch cercate da GFI LANguard N.S.S. È possibile disabilitare la ricerca di determinate patch per questo profilo disattivando la casella di spunta accanto al bollettino delle patch. L’elenco delle patch si ottiene scaricando l’elenco di patch più recente dal sito Web di GFI, che a sua volta si ottiene da Microsoft Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. • 33 (mssecure.xml). GFI ottiene l’elenco delle patch di Microsoft e ne controlla la correttezza, poiché a volte contiene degli errori. Espansione delle informazioni del bollettino Per ulteriori informazioni su un determinato bollettino, fare doppio clic su uno dei bollettini oppure fare clic con il tasto destro del mouse su di esso e selezionare ‘Proprieties’ (Proprietà). Verranno visualizzati ulteriori dettagli su ciò che il bollettino controlla e ciò a cui si rivolge. Opzioni dello scanner In questa scheda è possibile configurare le opzioni relative alle modalità con le quali GFI LANguard N.S.S. deve effettuare una scansione. 34 • Configurazione di GFI LANguard N.S.S. Manuale di GFI LANguard N.S.S. Proprietà dello scanner per la sicurezza Metodi di scoperta sulla rete Questa sezione è dedicata ai metodi che GFI LANguard N.S.S. deve utilizzare per scoprire macchine sulla rete. L’opzione ‘NETBIOS queries’ (Interrogazioni NETBIOS) consente l’utilizzo delle interrogazioni (query) NetBIOS o SMB. Se sulla Macchina Windows è installato il Client per le reti Microsoft o se su una macchina Unix sono installati i servizi Samba, allora tali macchine risponderanno ad interrogazioni di tipo NetBIOS. È possibile aggiungere un parametro ‘ScopeID’ all’interrogazione NetBIOS. È richiesto solo in alcuni casi, nei quali i sistemi sono dotati di uno ScopeID. Se la vostra azienda è dotata di un parametro ScopeID impostato su NetBIOS, inserirlo in questo punto. L’opzione ‘SNMP queries’ (Interrogazioni SNMP) consente di spedire pacchetti SNMP con la ‘Community String’ impostata nella scheda ‘General’ (Generale). Se il dispositivo risponde all’interrogazione, GFI LANguard N.S.S. richiede l’identificatore dell’oggetto (Object Identifier) dal dispositivo e lo confronta con un database per determinare di quale dispositivo si tratta. L’opzione ‘Ping Sweep’ effettua un ping ICMP di ciascun dispositivo di rete. (Si veda la nota di seguito) L’opzione ‘Custom TCP Port Discovery’ (Personalizza la scoperta di porte TCP) ricerca una determinata porta aperta sulle macchine target. Nota: ciascun tipo di interrogazione summenzionato può essere disattivato, ma GFI LANguard N.S.S. dipende da tutte queste interrogazioni per determinare il tipo di dispositivo e il sistema operativo residente su di esso. Se si sceglie di disattivare una di queste interrogazioni, GFI LANguard N.S.S. può non essere affidabile nella sua identificazione. Nota: alcuni firewall personali bloccano una macchina persino dall’inviare un echo ICMP e pertanto non verrà individuato da GFI LANguard N.S.S. Se si ritiene che esistano molte macchine con firewall personali nella propria rete, si prenda in considerazione la possibilità di effettuare una scansione forzata di ciascun IP della rete. Opzioni di scoperta della rete I parametri di scoperta della rete consentono di regolare l’individuazione delle macchine, in modo da ottenere la migliore individuazione delle macchine nel minor tempo possibile. I parametri di regolazione comprendono: • ‘Scanning Delay’ (Ritardo di scansione). È il tempo atteso da LANguard N.S.S. fra l’invio di un pacchetto TCP/UDP e l’altro. Il valore predefinito è pari a 100ms. In base alla connessione e al tipo di rete di cui si dispone (LAN/WAN/MAN), può essere necessario rettificare tali impostazioni. Se l’impostazione è troppo bassa, la rete può risultare congestionata da pacchetti inviati da GFI LANguard N.S.S. Se invece l’impostazione è troppo alta, verrà sprecato molto tempo inutile. Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. • 35 • ‘Wait for Responses’ (Attesa per la risposta). É il tempo atteso effettivamente da GFI LANguard N.S.S. per ottenere una risposta dal dispositivo. Se si opera su una rete lenta o occupata, può essere necessario incrementare questa caratteristica di scadenza da 500ms ad un valore più elevato. • ‘Number of retries’ (Numero di tentativi). È il numero di volte che GFI LANguard N.S.S. effettuerà ogni tipo di scansione. In circostanze normali, quest’impostazione non deve essere modificata. Tuttavia, se si dovesse modificare tale impostazione, essa verrà eseguita quel dato numero di volte in tutti i tipi di scansione (NETBIOS, SNMP, and ICMP). • L’opzione ‘Include non-responsive computers’ (Includi computer che non rispondono) dà istruzione allo scanner per la sicurezza GFI LANguard N.S.S. di tentare di effettuare la scansione di una macchina che non abbia risposto ad alcun metodo di scoperta della rete. Opzioni di interrogazioni NetBIOS L’effetto di utilizzare uno Scope ID di NetBIOS è quello di isolare un gruppo di computer sulla rete in grado di comunicare soltanto con altri computer configurati con un identico Scope ID di NetBIOS. I programmi NetBIOS avviati su un computer che utilizza Scope ID di NetBIOS non sono in grado di “vedere” (ricevere o inviare messaggi) programmi NetBIOS avviati da un processo su un computer configurato con uno Scope ID di NetBIOS diverso. GFI LNSS supporta Scope ID di NETBIOS per poter effettuare la scansione di questi computer isolati che, diversamente, sarebbero inaccessibili. Opzioni di interrogazioni SNMP L’opzione ‘Load SNMP enterprise numbers’ (Carica i numeri aziendali SNMP) consente a GFI LANguard N.S.S. di estendere il supporto in scansioni SNMP. Se disabilitata, i dispositivi scoperti da SNMP sconosciuti a GFI LANguard N.S.S. non riportano qual è il presunto distributore. A meno che non si sperimentino dei problemi, si consiglia di lasciare abilitata quest’opzione. Per impostazione predefinita, la maggior parte dei dispositivi SNMP abilitati utilizza la community string ‘pubblica’ predefinita, ma, per motivi di sicurezza, gran parte degli amministratori la cambia con qualcos’altro. Se non si è modificato il nome della community SNMP predefinito sui dispositivi di rete, si vorrà aggiungerlo all’elenco utilizzato da GFI LANguard N.S.S. Nota: in questo punto, è possibile aggiungere più di un nome di community SNMP. Per ogni nome di community aggiunto, la parte SNMP della scansione deve essere eseguita un’altra volta. Se, nella stringa del nome della community, si è impostato ‘pubblico’ e ‘privato’, la scansione SNMP verrà effettuata due volte sull’intero intervallo di IP impostato. Una volta con la stringa ‘pubblico’ e la seconda con la stringa ’privato’. 36 • Configurazione di GFI LANguard N.S.S. Manuale di GFI LANguard N.S.S. Opzioni delle finestre di attività dello scanner Le opzioni di uscita consentono di configurare quali informazioni devono essere nel pannello di attività dello scanner. È utile abilitarle; tuttavia, si consiglia di abilitare ‘Verbose’ (Verboso) o ‘Display packets’ (Visualizza i pacchetti) solo a fini di eliminazioni degli errori (debugging) straordinarie. Scansioni programmate La caratteristica delle scansioni programmate consente di configurare le scansioni che devono essere eseguite automaticamente ad una determinata data/ora. Le scansioni programmate possono inoltre essere effettuate periodicamente. Ciò consente di eseguire una particolare scansione durante la notte o al primo mattino e può, inoltre, essere utilizzata congiuntamente alla caratteristica del confronto dei risultati, permettendo di ricevere automaticamente un ‘change report’ (rapporto delle variazioni) nella casella di posta. Tutte le scansioni programmate sono memorizzate nel database per impostazione predefinita. In via facoltativa, è possibile salvare tutti i risultati delle scansioni programmate in un file XML (uno per ogni scansione programmata). Il salvataggio può essere effettuato facendo clic con il tasto destro del mouse sul nodo ‘Scheduled Scan’ (Scansione programmata), selezionando ‘Properties’ (Proprietà), abilitando l’opzione ‘Save Scheduled Scan’ (Salva la scansione programmata) e specificando un percorso per i file XML. Configurazione di una scansione programmata Per creare una scansione programmata, procedere come segue: 1. Nel programma dello scanner per la sicurezza GFI LANguard N.S.S., fare clic con il tasto destro del mouse su ‘Configuration > Scheduled scans > New > Scheduled scan…’ (Configurazione > Scansioni programmate > Nuova > scansione programmata…) 2. Viene visualizzata la finestra di dialogo ‘New Scheduled Scan’ (Nuova scansione programmata) Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. • 37 Creazione di una nuova Scansione programmata Nella finestra di dialogo ‘Nuova scansione programmata’, è possibile configurare quanto segue: 1. ‘Scan target’ (Oggetto della scansione) specificare i nomi dei computer o l’intervallo di IP di cui si desidera effettuare la scansione. È possibile specificare l’oggetto della scansione come segue: i. ‘Host name’ (Nome dell’host) – ad esempio, ANDREMDEV ii. l’indirizzo IP - ad esempio, 192.168.100.9 iii. l’intervallo di indirizzi IP – ad esempio, 192.168.100.1 – 192.168.100.255 iv. un file di testo contenente un elenco di computer – ad esempio, file:c:\test.txt (il percorso completo al file). Ogni rigo contenuto nel file può assumere qualsiasi formato o oggetto specificato nei punti (1), (2) o (3). 2. Profilo di scansione: selezionare il profilo di scansione da utilizzare per questa scansione programmata. 3. Scansione successiva: specificare in quale data e ora si desidera cominciare la scansione. 4. ‘Perform a scan every’ (Effettua una scansione ogni): specificare se si desidera effettuare la scansione una sola volta o periodicamente. 5. Descrizione: verrà visualizzata nell’elenco delle scansioni programmate Fare clic su OK per creare la scansione programmata. Per analizzare/visualizzare i risultati di scansione di una scansione programmata, nel nodo ‘Scan filters’ (Filtri di scansione) si deve 38 • Configurazione di GFI LANguard N.S.S. Manuale di GFI LANguard N.S.S. specificare il file XML dei risultati di scansione di quella scansione programmata. Per farlo, procedere come segue: 1. Fare clic con il tasto destro del mouse sul nodo principale “Scan Filters” (Filtri di scansione) e selezionare “Filter saved scan results XML file...” (File XML dei risultati di scansione filtrati salvato…) 2. Specificare il file XML dei risultati di scansione della scansione programmata. 3. I nodi dei filtri visualizzano ora i dati del file di risultati di scansione programmata. File dei parametri Il nodo dei file dei parametri fornisce un’interfaccia diretta per modificare vari file dei parametri basati sul testo utilizzati da GFI LANguard N.S.S. Soltanto utenti avanzati dovrebbero modificare tali file. Se questi file fossero erroneamente modificati, ne verrebbe colpita l’affidabilità di GFI LANguard N.S.S. nella determinazione del tipo di dispositivo trovato. • Ethercodes.txt – questo file contiene molti indirizzi Mac e i relativi distributori assegnati a quel particolare intervallo. • ftp.txt – questo file contiene un elenco di banner di server ftp utilizzati internamente da GFI LNSS per determinare quale sistema operativo risieda su quella determinata macchina, in base al server ftp in funzione su di essa. • Identd.txt – questo file contiene banner ‘identd’ anch’essi utilizzati internamente da GFI LNSS per determinare il sistema operativo che utilizza le informazioni di banner. • Object_ids.txt – questo file contiene ‘object_ids’ (id dell’oggetto) e dati relativi al distributore e prodotto di appartenenza. Quando GFI LANguard N.S.S. trova un dispositivo che risponde a interrogazioni SNMP, confronta le informazioni di ‘Object ID’ (ID dell’oggetto) del dispositivo con quelle memorizzate in questo file. • Passwords.txt – questo file contiene un elenco di password utilizzate per asserire debolezze di password. • Rpc.txt – questo file contiene una mappatura fra i numeri di servizio riportati dal protocollo rpc e il nome del servizio associato a quel particolare numero di servizio. Quando GFI LANguard N.S.S. trova servizi RPC in esecuzione su una macchina (di solito Unix o Linux), le informazioni ottenute sono paragonate a quelle di questo file. • Smtp.txt – contiene un elenco di banner e dei relativi sistemi operativi. Come nel caso dei file ftp e ident, questi banner sono utilizzati internamente da GFI LNSS per determinare il sistema operativo che risiede sulla macchina target. • Snmp-pass.txt – questo file contiene un elenco di community string che GFI LNSS utilizza per determinare se sono disponibili sul server SNMP target. Se disponibili, queste community string sono rilevate dallo strumento di scansione SNMP. • telnet.txt – Ancora una volta, si tratta di un file che contiene vari banner di server telnet utilizzati da GFI LNSS per determinare il sistema operativo che risiede sulla macchina target. Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. • 39 • www.txt – un file che contiene banner di server utilizzati per determinare quale sistema operative risiede sulla macchina target. • Enterprise_numbers.txt – elenca gli OID (Object Identifier – ID dell’oggetto) ai codici di relazione dell’azienda (distributore/università). Se GFI LANguard N.S.S. non ottiene le specifiche informazioni su un dispositivo quando lo rileva (informazioni fornite dal file object_ids.txt), controlla le informazioni sullo specifico distributore ottenute e fornisce almeno l’identità del distributore del prodotto rilevato. Tali informazioni si basano sui ‘Network Management Private Enterprise Codes SMI’, che possono essere trovati al sito: http://www.iana.org/assignments/enterprise-numbers Utilizzazione di GFI LANguard N.S.S. dalla riga per i comandi È possibile evocare il processo di scansione dalla riga per i comandi. Ciò consente di chiamare lo scanner da un’altra applicazione o semplicemente su base programmata con le proprie opzioni personalizzate. Utilizzo: ‘lnsscmd <Target> [/profile=profileName] [/report=reportPath] [/output=pathToXmlFile] [/user=username /password=password] [/email=emailAddress] [/DontShowStatus] [/?]’ (lnsscmd <Target> [/profilo=Nome profilo] [/rapporto=Percorso del rapporto] [/output=percorso al file XML] [/utente=nome utente /password=password] [/email=Indirizzo email] [/Non mostrare lo stato] [/?]) Legenda: /Profile Optional: (/Profilo Opzionale:) Profilo da utilizzare per la scansione. Se non diversamente indicato, verrà utilizzato il profilo attivo corrente. /Output Optional: (/Output Opzionale:) Percorso completo (compreso nome del file) dove emettere il file xml dei risultati della scansione. /Report Optional: (/Rapporto Opzionale:) Percorso completo (compreso nome del file) dove generare il file html del rapporto dei risultati della scansione. /User Optional: (/Utente Opzionale:) Effettua la scansione del dispositivo target specificato utilizzando le credenziali alternative specificate nei parametri ‘/User’ (/Utente) e ‘/Password’ (/Password). /Password Optional: (/Password Opzionale:) Effettua la scansione del dispositivo target specificato utilizzando le credenziali alternative specificate nei parametri ‘/User’ (/Utente) e ‘/Password’ (/Password). /Email Optional: (/Email Opzionale:) Invia il rapporto dei risultati a quest’indirizzo email alternativo. Verrà utilizzato il server di posta specificato nel nodo ‘LNSS\Configuration\Alerting Options’ (LNSS\Configurazione\Opzioni di allerta). /DontShowStatus Optional: (/Non mostrare lo stato Opzionale:) Non mostra i dettagli dell’andamento della scansione. NOTA: per i percorsi completi e i nomi dei profili, includere il nome tra virgolette, ad esempio, “Default”, “c:\temp\test\xml”. 40 • Configurazione di GFI LANguard N.S.S. Manuale di GFI LANguard N.S.S. Esempio: lnsscmd.exe 127.0.0.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="[email protected]" (lnsscmd.exe 127.0.0.1 /Profilo="Default" /Output="c:\out.xml" /Rapporto="c:\risultato.html" /email="[email protected]”) Quanto sopra descritto farà in modo che la riga per i comandi dello scanner esegua una scansione di sicurezza sulla macchina 127.0.0.1, emetta il file xml su c:\out.xml, generi il rapporto html c:\result.html (c:\risultato.hmtl) su una volta completata la scansione e, infine, invii il rapporto all’indirizzo email ‘[email protected]’ Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. • 41 Impiego di patch Introduzione alla messa in funzione di patch Utilizzare il tool (strumento) per la messa in funzione di patch per mantenere aggiornate le macchine NT, 2000, XP e 2003 con le patch e i service pack più recenti. Per mettere in funzione patch e service pack, bisogna seguire le seguenti fasi: Fase 1: effettuare una scansione della rete Fase 2: selezionare su quali macchine mettere in funzione le patch Fase 3: selezionare quali patch mettere in funzione Fase 4: scaricare i file delle patch e dei service pack Fase 5: correggere i parametri d’impiego del file Fase 6: utilizzare gli aggiornamenti Per mettere in funzione le patch, si deve • disporre di diritti amministrativi sulla macchina su cui si sta effettuando la scansione. • NETBIOS deve essere abilitato sulla macchina remota. L’agente per la messa in funzione delle patch GFI LANguard N.S.S. 5 utilizza un agente per la messa in funzione delle patch che è installato automaticamente sulla macchina remota, per impiegare patch, service pack e software personalizzato. L’agente per la messa in funzione delle patch consiste in un servizio che esegue l’installazione all’ora programmata, in base ai parametri d’impiego indicati. Tale architettura risulta quindi più molto affidabile senza utilizzare un agente per la messa in funzione delle patch. L’agente per la messa in funzione delle patch viene installato automaticamente senza l’intervento dell’amministratore. Nota: non è raro che Microsoft ritiri file di patch. Quando ciò accade, le informazioni di quella patch rimangono nel file ‘mssecure.xml’, poiché la patch era ad un certo punto disponibile. In questi casi, GFI LANguard NSS riporta la patch come mancante, sebbene non possa essere installata. Se non si vuole ricevere informazioni su queste patch mancanti, bisogna disabilitare la ricerca di quel dato bollettino dal nodo ‘GFI LANguard N.S.S. > Configuration > Scanning Profiles > Patches’ (GFI LANguard N.S.S. > Configurazione > Profili di scansione > Patch). Fase 1: effettuare una scansione della rete GFI LANguard N.S.S. scopre patch e servizi mancanti in quanto parte della scansione per la sicurezza. Lo fa paragonando, sulla macchina Manuale di GFI LANguard N.S.S. Impiego di patch • 43 remota, le impostazioni del registro di configurazione del sistema, i timbri temporali (data/ora) dei file e le informazioni relative alla versione, utilizzando le informazioni fornite da Microsoft nel file ‘mssecure.xml’. Innanzi tutto, GFI LANguard N.S.S. individua quali prodotti, di cui possiede informazioni sulle patch, sono installati sulla macchina target (per esempio, Microsoft Office). Dopo di che, controlla quali patch e service pack sono disponibili per quel prodotto e spedisce le informazioni sulla patch mancante al nodo delle ‘Missing patches’ (Patch mancanti) del nodo ‘high security vulnerabilities’ (Vulnerabilità della sicurezza alte). Visualizzazione di un campione di patch mancante nell’albero dei risultati della scansione Per ogni service pack/patch mancante, GFI LANguard N.S.S. riporta un collegamento dal quale è possibile scaricare il file della patch ed altre informazioni relative a quel bollettino. Le patch mancanti in via definitiva sono riportate nei nodi “Missing patches and service packs” (“Patch e service pack mancanti) dei risultati della scansione. Le patch per le quali non è possibile confermare se siano installate o no a causa della mancanza di informazioni d’individuazione, sono riportate nel nodo “Potential vulnerabilities” (Vulnerabilità potenziali) dei risultati della scansione. Visualizzazione di un campione di patch non individuabili nell’albero dei risultati della scansione Fase 2: selezionare su quali macchine mettere in funzione le patch Dopo aver effettuato la scansione della rete, nella finestra dei rislutati della scansione viene visualizzato l’elenco dei service pack e delle patch mancanti. Per installare gli aggiornamenti mancanti, si devono selezionare i computer che si vogliono aggiornare. Le patch possono essere messe in funzione su una macchina, su tutte le macchine o su macchine selezionate. Per mettere in funzione le patch mancanti su un computer: fare clic con il pulsante destro del mouse sul computer che si vuole aggiornare ‘Deploy Microsoft updates > [type of update] > This computer’ (Installa gli aggiornamenti di Microsoft > [tipo di aggiornamento] > Questo computer). 44 • Impiego di patch Manuale di GFI LANguard N.S.S. Per mettere in funzione le patch mancanti su tutti i computer: fare clic con il pulsante destro del mouse su qualsiasi computer riportato nell’albero dei risultati ‘Deploy Microsoft updates > [type of update] > All computers’ (Installa gli aggiornamenti di Microsoft > [tipo di aggiornamento] > Tutti i computer). Per mettere in funzione le patch mancanti su computer selezionati: utilizzare le caselle di spunta sul lato sinistro dei risultati della scansione per selezionare quali macchine si vogliono aggiornare. Fare clic con il pulsante destro del mouse su qualsiasi computer riportato nell’albero dei risultati ‘Deploy Microsoft updates > [type of update] > Selected computer’ (Installa gli aggiornamenti di Microsoft > [tipo di aggiornamento] > Computer selezionati). Indicare su quali macchine si vogliono impiegare gli aggiornamenti richiesti. Fase 3: selezionare quali patch mettere in funzione Una volta selezionati i computer target su cui mettere in funzione le patch di Microsoft, viene visualizzato il nodo ‘Deploy Microsoft patches’ (Installa gli aggiornamenti di Microsoft). Questo nodo riporta i dettagli dei computer selezionati e quali patch/service pack devono essere messi in funzione su quei computer. Sono visibili due visualizzazioni in cui è possibile gestire le opzioni d’impiego. (1) Ordinamento per computer: selezionare un computer e vedere quali patch/aggiornamenti devono essere impiegati su di esso (2) Ordinamento per patch: selezionare una patch e vedere su quali computer manca quell’aggiornamento. Manuale di GFI LANguard N.S.S. Impiego di patch • 45 Metti in funzione il nodo delle patch di Microsoft Per impostazione predefinita, tutte le patch vengono selezionate per la messa in funzione. Se si vuole evitare di mettere in funzione determinate patch, de-selezionarle facendo clic sulla casella di spunta situata accanto alle rispettive patch. Fase 4: scaricare i file delle patch e dei service pack Dopo aver selezionato le patch o i service pack da mettere in funzione, bisogna scaricare gli opportuni file che contengono le patch. Questa operazione viene effettuata in larga misura da GFI LANguard N.S.S. in maniera automatica. Inoltre, esso le colloca nelle directory corrette in base al prodotto e al linguaggio del prodotto che viene aggiornato. GFI LANguard NSS riporta quali file di patch devono essere scaricati Nell’elenco delle patch da mettere in funzione, GFI LANguard N.S.S. riporta quali file vanno scaricati. Viene elencato ogni file di patch necessario, che riporterà uno dei seguenti stati, indicati da un’icona nell’elenco delle patch mancanti: Scaricato Attualmente in corso di scaricamento In attesa che l’utente si colleghi alla pagina web per scaricare il file. Non scaricato Scaricamento delle patch Le patch di Microsoft, elencate nel file ‘mssecure.xml’, possono essere distinte in tre categorie principali: 46 • Impiego di patch Manuale di GFI LANguard N.S.S. (1) Patch dotate di una locazione (URL) diretta per il download. (2) Patch che richiedono di navigare in qualche pagina web nel Web per poter scaricare il file. (3) Patch per le quali non esiste un file di patch. Per scaricare patch dotate di un collegamento diretto: Per le patch dotate di un collegamento diretto per il download, fare clic sul file di patch e selezionare “Download File” (“Scarica file”). Comicia quindi il download e, una volta completato, il file viene messo automaticamente nella directory corretta. Per scaricare patch non dotate di un collegamento diretto, ma solo di una pagina web sorgente. Quando individua un file che deve essere scaricato manualmente dal sito Web di Microsoft, GFI LANguard N.S.S. carica la pagina web principale nell’area situata in fondo al tool per la messa in funzione delle patch. Si sarà allora in grado di trovare il collegamento per il download più opportuno e quindi di fare clic su di esso. GFI LANguard N.S.S. controlla questa sessione Web e, non appena si fa clic su un collegamento diretto per il download, inizia automaticamente a scaricare quel file. La navigazione nella pagina Web fa parte della sessione di download. Se si vuole annullare la sessione di download, bisogna fare clic sulla patch e selezionare "Cancel Download" (“Annulla il download”). Una volta completato il download, il file viene messo automaticamente nella directory corretta. Scaricamento di una patch da una pagina Web con l’ausilio dell’assistente per il download. Fase 5: correggere i parametri d’impiego del file In via facoltativa, è possibile configurare su una patch parametri d’impiego alternativi, in base alle patch stesse. Per farlo, procedere come segue: 1. Fare clic sul file di patch con il tasto destro del mouse e selezionare ‘Properties’ (Proprietà). Manuale di GFI LANguard N.S.S. Impiego di patch • 47 2. In via facoltativa, specificare una fonte URL di download alternativa. 3. In via facoltativa, specificare i parametri della riga per i comandi da utilizzare durante la messa in funzione. È possibile controllare a quale bollettino si applica una patch facendo clic con il tasto destro del mouse sul file di patch e selezionando “Bulletin Info…” (Informazioni sul bollettino…) Proprietà del file di patch Fase 6: utilizzare gli aggiornamenti Dopo aver selezionato i computer su cui mettere in funzione le patch, si è pronti per l’utilizzo! Fare clic su ‘Start’ (Inizia) in basso a destra per iniziare la messa in funzione. 48 • Impiego di patch Manuale di GFI LANguard N.S.S. Avvio della messa in funzione delle patch facendo clic su ‘Start’ (Inizia). Inizierà ora la messa in funzione delle patch. È possibile controllare lo stato della messa in funzione delle patch dalla scheda ‘Deployment status’ (Stato della messa in funzione) Monitoraggio del processo di download. Impiego di software personalizzato Il tool dell’impiego di software personalizzato è molto pratico per mettere rapidamente in funzione patch personalizzate per software su tutta la rete, oppure persino per installare software su tutta la rete. Il tool dell’impiego di software personalizzato è inoltre usato spesso per installare aggiornamenti di firme antivirus su tutta la rete. Il processo Manuale di GFI LANguard N.S.S. Impiego di patch • 49 d’impiego di software personalizzato è molto simile al processo di applicazione delle patch su una macchina. Impiego di software personalizzato Fase 1: selezionare le macchine su cui installare il software o le patch 1. Passare al nodo ‘Deploy custom software’ (Impiega software personalizzato) del nodo degli strumenti (Tools). 2. Fare clic sul pulsante ‘Add’ (Aggiungi) per aggiungere un singolo computer oppure fare clic sul pulsante ‘Select’ (Seleziona) per scegliere una serie di computer sui quali impiegare il software personalizzato. Nota: è anche possibile selezionare su quali macchine mettere in funzione il software personalizzato dal nodo ‘Security Scanner’ (Scanner per la sicurezza) e poi dal nodo ‘Tools > Enumerate Computers ‘ (Strumenti > Enumera computer). Fase 2: specificare il software da impiegare Fare clic sul pulsante ‘Add…’ (Aggiungi…) della sezione “Patches:” (Patch:) per specificare la locazione sorgente del file e specificare eventuali parametri della riga per i comandi che devono essere utilizzati per l’impiego del file. 50 • Impiego di patch Manuale di GFI LANguard N.S.S. Indicazione del software da impiegare In via facoltativa, è possibile programmare un orario in cui la messa in funzione deve aver luogo. Fase 3: avviare il processo d’impiego Una volta specificato il software da impiegare e i computer sui quali deve essere impiegato, è possibile cominciare il processo d’impiego facendo clic sul pulsante ‘Start’ (Inizia). Impiego di patch personalizzate, che indicano quali file di patch mettere in funzione e su quali computer. Manuale di GFI LANguard N.S.S. Impiego di patch • 51 Opzioni d’impiego Opzioni d’impiego È possibile configurare opzioni indugiando con il mouse sul pulsante delle opzioni, situato sul lato destro dello schermo. In questo punto è possibile: • Configurare il servizio dell’agente d’impiego perché venga eseguito con credenziali alternative. • Riavviare il computer target dopo la messa in funzione. Alcune patch richiedono il riavvio della macchina dopo l’installazione. Spuntare questa casella se una o più patch che si vogliono mettere in funzione richiedono il riavvio della macchina. • Avvertire l’utente prima della messa in funzione: invia un messaggio alla macchina target prima di impiegare gli aggiornamenti. • Arrestare i servizi prima della messa in funzione: questa opzione arresta i servizi ISS e MS SQL Server prima della messa in funzione. • Eliminare i file copiati sulle macchine remote dopo la messa in funzione. • Configurare il numero di thread per la messa in funzione di patch da utilizzare • Configurare particolari condizioni di filtraggio secondo cui mettere in funzione le patch (filtri di computer) NOTA: nel tool ‘Deploy custom patches’ (Impiego di patch personalizzate), i ‘Computer filters’ (Filtri di computer) non saranno applicati a computer che non siano stati sottoposti a scansione dal tool dello scanner per la sicurezza. 52 • Impiego di patch Manuale di GFI LANguard N.S.S. Confronto tra risultati Perchè paragonare i risultati? Attraverso l’esecuzione di controlli regolari e la comparazione con i risultati di scansioni precedenti, è possibile farsi un’idea di quali falle nella sicurezza continuano a comparire o sono riaperte dagli utenti. Questo crea una rete più sicura. GFI LANguard Network Security Scanner aiuta a farlo consentendo di confrontare i risultati delle varie scansioni. GFI LANguard N.S.S. riporta le differenze e consente di prendere provvedimenti. È possibile confrontare i risultati manualmente o tramite le scansioni programmate. Esecuzione di un confronto tra risultati in modo interattivo Ogni volta che GFI LANguard N.S.S. effettua una scansione programmata, salva il file XML dei risultati della scansione nella directory ‘Data\Reports’ (Dati\Rapporti) della directory d’installazione di GFI LANguard N.S.S. È possibile inoltre salvare i risultati della scansione corrente in un file xml, facendo clic con il pulsante destro del mouse sul nodo ‘Security Scanner’ (Scanner per la sicurezza) e selezionando ‘Save scan results to XML file…’ (Salva i risultati della scansione nel file XML…). Per confrontare due file XML di risultati della scansione, procedere come segue: 1. Passare allo strumento ‘Result comparison’ (Confronto tra risultati) sotto ‘GFI LANguard N.S.S. > Security Scanner > Result comparison’ (GFI LANguard N.S.S. > Scanner per la sicurezza > Confronto tra risultati). 2. Selezionare due file di risultati di scansione, eseguite con le stesse opzioni e sulla stessa serie di computer, ma in tempi diversi e fare clic su ‘Compare’ (Confronta). Manuale di GFI LANguard N.S.S. Confronto tra risultati • 53 Comparazione dei risultati Il risultato sarà qualcosa di simile alla schermata riportata sopra. Illustra ciò che è stato abilitato o disabilitato ed eventuali modifiche della rete dall’ultima scansione operata. • La sezione ‘New items’ (Nuovi elementi) illustra i nuovi eventi che si sono verificati dopo la prima scansione. • La sezione ‘Removed items’ (Elementi eliminati) illustra eventuali dispositivi/problemi che sono stati rimossi dalla prima scansione operata. • La sezione ‘Changed items’ (Elementi modificati) illustra gli elementi che hanno subito modifiche, quali un servizio tra scansioni che è stato abilitato oppure disabiltato. Esecuzione di un confronto tramite l’opzione delle scansioni programmate Invece di effettuare manualmente la scansione della rete tutti i giorni, settimane o mesi, è possibile impostare una scansione programmata. Verrà eseguita una scansione programmata in modo automatico ad una certa ora e verranno inviate via email all’amministratore le differenze tra le scansioni programmate. Per esempio: l’amministratore può configurare la caratteristica delle ‘Scheduled Scan’ (Scansioni programmate) affinché effettui una scansione tutte le notti alle ore 23. Il servizio di ricezione di GFI LANguard N.S.S. lancerà una scansione per la sicurezza sul(i) computer target selezionato(i) e salverà i risultati nel database centrale. Poi, confronterà i risultati attuali con i risultati della notte precedente e riporterà le differenze, se presenti. NOTA: la prima volta che viene effettuata una scansione programmata o se non vengono rilevate differenze rispetto alla scansione precedente, GFI LANguard N.S.S. non invierà alcun rapporto via email. Si riceverà un rapporto unicamente se è stato modificato qualcosa. 54 • Confronto tra risultati Manuale di GFI LANguard N.S.S. Strumenti Introduzione Nel menu ‘Tools’ (Strumenti) si trovano i seguenti strumenti: • • ’DNS Lookup’ (Ricerca DNS) ‘Whois Client’ (Chi è il client)‘Trace Route’ (Traccia del percorso) • SNMP Walk • ‘SNMP Audit’ (Controllo SNMP) • ‘MS SQL Server Audit’ (Controllo di MS SQL Server) • ‘Enumerate Computers’ (Conteggio dei computer) Ricerca DNS Questo strumento sistema il ‘Domain Name’ (Nome del dominio) in un indirizzo IP corrispondente e, inoltre, fornisce informazioni sul nome del dominio: se ha un record MX, ecc. Strumento per la ricerca DNS Per ottenere informazioni sul nome di un dominio, procedere come segue: 1. Andare al nodo ‘Tools > DNS lookup’ (Strumenti > Ricerca DNS). 2. Specificare l’hostname da sistemare. 3. Specificare le informazioni da acquisire: Manuale di GFI LANguard N.S.S. Strumenti • 55 • ’Basic Information’ (Informazioni di base) – cioè, l’hostname e quale IP viene sistemato • ‘Host Information’ (Informazioni sull’host) – Note tecnicamente come HINFO, di solito contengono informazioni come hardware e sistema operativo che risiede sul dominio specificato (la maggior parte degli ingressi DNS non contengono tali informazioni per ragioni di sicurezza). • ‘Aliases’ (Alias) – restituisce informazioni che potrebbero essere contenute nella sezione ‘Records the Domain’ (Registra il dominio). • ‘MX Records’ (Record MX), noti anche come record mail exchanger (risorse di scambio di posta), illustrano quali server di posta sono responsabili per questo dominio e in quale ordine. • ‘NS Records’ (Record NS) indicano quali name server sono responsabili per questo dominio. Inoltre, è possibile specificare un server DNS alternativo. ‘Trace Route’ (Traccia del percorso) Strumento ‘Trace route’ (Traccia del percorso) Questo strumento illustra il percorso di rete seguito da GFI LANguard N.S.S. per raggiungere la macchina target. Quando si segue una traccia del percorso, a fianco di ciascun hop è riportata un’icona: • • indica un hop riuscito, ma il tempo richiesto è stato piuttosto lungo. • indica un hop riuscito, ma il tempo richiesto è stato troppo lungo • 56 • Strumenti indica un hop riuscito entro i normali parametri indica che l’hop è scaduto. (cioè, è durato oltre 1.000ms) Manuale di GFI LANguard N.S.S. ‘Whois Client’ (Chi è il client) Strumento ‘Whois’ (Chi è) Questo strumento ricerca informazioni su un dominio o su un indirizzo IP. È possibile selezionare un ‘Whois Server’ (NDT: i server che hanno registrati tutti i dati sui domini) dall’area delle opzioni oppure si può utilizzare l’opzione ‘Default’ (Predefinito) che selezionerà il server in modo automatico. SNMP Walk SNMP walk consente di raccogliere informazioni SNMP. Il pannello di destra contiene un elenco di nomi che simbolizzano specifici ‘Object ID’ (ID degli oggetti) presenti sul dispositivo. Per saperne di più sulle informazioni fornite da SNMP walk, bisogna rivolgersi al distributore. Alcuni distributori forniscono numerosi dettagli sul significato di ciascun dato, altri non forniscono alcuna documentazione, nonostante i loro dispositivi supportino SNMP. Per utilizzare l’utility, fare clic su Tools > SNMP walk (Strumenti > SNMP walk). Immettere l’indirizzo IP di una macchina o dispositivo che si desidera sottoporre a scansione/’walk’. Nota: in gran parte dei casi SNMP deve essere bloccato al livello del router/firewall, in modo che gli utenti di Internet non siano in grado di effettuare la scansione SNMP della propria rete. È possibile fornire community string alternative. Nota: SNMP aiuta utenti malintenzionati ad apprendere molte informazioni sul proprio sistema, rendendo più semplici la scoperta delle password ed altri attacchi simili. Si consiglia vivamente di disattivare SNMP, a meno che tale servizio non sia richiesto. Manuale di GFI LANguard N.S.S. Strumenti • 57 ‘SNMP Audit’ (Controllo SNMP) Lo strumento ‘SNMP Audit’ (Controllo SNMP) consente di eseguire un controllo SNMP su un dispositivo e di cercare community string deboli. Alcuni dispositivi di rete sono dotati di community string alternative o non predefinite. Il file ‘dictionary’ (dizionario) contiene un elenco di popolari community string da verificare. Il file predefinito utilizzato da questo strumento per l’attacco del dizionario si chiama ‘snmppass.txt’. È possibile aggiungere nuovi nomi di community a questo file ovvero dirigere il controllo SNMP verso un file completamente diverso. Per utilizzare l’utility, inserire l’indirizzo IP di una macchina che esegue SNMP e fare clic su ‘Retrieve’ (Acquisisci). ‘MS SQL Server Audit’ (Controllo di MS SQL Server) Questo strumento consente di eseguire un controllo su un’installazione Microsoft SQL Server. È possibile controllare sia l’account SA (NDT: account di amministrazione) sia account SQL Per impostazione predefinita userà il file dizionario denominato ‘passwords.txt’. È possibile aggiungere nuove password a questo file ovvero dirigere l’utilità verso un altro file di password. Per eseguire un controllo su server SQL, inserire l’indirizzo IP della macchina che esegue MS SQL. Se si desidera scoprire le password di tutti gli account SQL, si deve immettere un nome utente e una password per accedere ad SQL e acquisire tutti gli account utente. Strumento di controllo di account SQL 58 • Strumenti Manuale di GFI LANguard N.S.S. ‘Enumerate Computers’ (Conteggio dei computer) Strumento per il conteggio dei computer Questa utility cerca i Domini e/o Gruppi di lavoro presenti sulla vostra rete. Una volta trovati, sarà possibile effettuare la scansione di tali Domini per acquisire l’elenco dei computer in essi presenti. Una volta effettuata la scansione, l’utility elenca il tipo di sistema operativo installato su quella macchina ed eventuali commenti che possono essere elencati tramite NETBIOS. I computer possono essere conteggiati utilizzando uno dei seguenti metodi: • da Active Directory – Questo metodo è molto più rapido e conteggia anche i computer che in quel momento sono spenti • utilizzando l’interfaccia di Windows Explorer – Questo metodo è più lento e non conteggia i computer spenti. È possibile specificare quale metodo utilizzare dalla scheda ‘Information source’ (Sorgente delle informazioni). Si noti che bisogna effettuare la scansione utilizzando un account che abbia diritti di accesso ad Active Directory. Lancio di una scansione per la sicurezza Una volta conteggiati i computer del dominio, è possibile lanciare una scansione su macchine selezionate facendo clic con il tasto destro del mouse su uno dei computer conteggiati e selezionando l’opzione ‘Scan’ (Effettua la scansione). Se si vuole lanciare la scansione e continuare ad usare lo strumento ‘ Enumerate computers’ (Conteggio dei computer), selezionare l’opzione “Scan in background’ (Effettua la scansione in background) Impiego di patch personalizzate Selezionare le macchine su cui si vogliono mettere in funzione gli aggiornamenti su ‘> Right click on any selected machine > Deploy Manuale di GFI LANguard N.S.S. Strumenti • 59 Custom Patches’ (>Fare clic con il tasto destro del mouse su una macchina selezionata > Impiego di patch personalizzate). Abilitazione di politiche di controllo Selezionare le macchine su cui si vogliono abilitare le politiche di controllo su ‘> Right click on any selected machine > Enable Auditing Policies’ (>Fare clic con il tasto destro del mouse su una macchina selezionata > Abilita politiche di controllo…). Conteggio di utenti La funzione di ‘Enumerate users’ (Conteggio di utenti) si connette ad Active Directory e acquisisce tutti gli utenti e i contatti presenti in Active Directory. 60 • Strumenti Manuale di GFI LANguard N.S.S. Aggiunta di controlli di vulnerabilità tramite condizioni o script Introduzione GFI LANguard N.S.S. permette di aggiungere rapidamente controlli della vulnerabilità personalizzati. Tale operazione può essere effettuata in 2 modi: scrivendo uno script o utilizzando una serie di condizioni. Qualunque sia il metodo utilizzato, si deve aggiungere la vulnerabilità attraverso l’interfaccia dello scanner per la Sicurezza ed indicare il nome dello script oppure le condizioni che devono essere applicate. Nota: solo utenti espertidevono creare nuove Vulnerabilità, poiché una configurazione imprecisa delle Vulnerabilità produrrebbe falsi positivi o non fornirebbe alcuna informazione sulle Vulnerabilità. Linguaggio VBscript di GFI LANguard N.S.S. GFI LANguard N.S.S. include un linguaggio scripting compatibile con VBscript. Questo linguaggio è stato creato per semplificare l’aggiunta di controlli personalizzati. Consente inoltre a GFI LANguard N.S.S. di aggiungere rapidamente nuovi controlli di vulnerabilità e di renderli disponibili per il download. Il prodotto comprende un editor con capacità di evidenziazione della sintassi e un debugger. Per ulteriori informazioni sulle modalità di scrittura degli script, si rimanda al file di aiuto ‘’Scripting documentation’ (Documentazione di scripting), accessibile dal gruppo di programmi GFI LANguard N.S.S. NOTA IMPORTANTE: GFI non è in grado di fornire il supporto per la creazione di script che non funzionano. È possibile inviare eventuali quesiti sullo scripting di GFI LANguard N.S.S. al forum di GFI LANguard, alla pagina http://forums.languard.com , dove è possibile condividere script e idee con altri utenti di GFI LANguard N.S.S. Aggiunta di un controllo di vulnerabilità che utilizza uno script personalizzato È possibile aggiungere controlli di vulnerabilità che utilizzano uno script personalizzato. È possibile creare tali script personalizzati utilizzando l’editor o il debugger di GFI LANguard NSS. Per farlo, procedere come segue: Fase 1: creazione dello script 1. Lanciare il programma GFI LANguard N.S.S. Script Debugger selezionando ‘Start > Programs > GFI LANguard Network Security Manuale di GFI LANguard N.S.S. Aggiunta di controlli di vulnerabilità tramite condizioni o script • 61 Scanner > Script Debugger’ (Avvio > Programmi > GFI LANguard Network Security Scanner > Script Debugger) 2. ‘File > New…’ (File > Nuovo…) 3. ‘Create a script’ (Creare uno script). Ad esempio, si può utilizzare il seguente script fittizio e immetterlo nel debugger: ‘Function Main’ (Funzione Principale) eco “Script has run successfully (Lo script è stato eseguito con successo)” ‘Main = true’ (Principale = vero) ‘End Function’ (Fine Funzione) 4. Salvare il file, ad esempio, "c:\myscript.vbs" Fase 2: aggiunta del nuovo controllo di vulnerabilità: 1. Passare al nodo ‘GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles’ (GFI LANguard N.S.S. Programma principale > Configurazione > Profili di scansione). 2. Passare alla scheda delle ‘Scanned Vulnerabilities’ (Vulnerabilità sottoposte a scansione) e selezionare la categoria cui deve appartenere la nuova vulnerabilità. Ora fare clic sul pulsante ‘Add’ (Aggiungi). Viene visualizzata la finestra di dialogo ‘New vulnerability Check’ (Nuovo controllo di vulnerabilità). Aggiunta del nuovo controllo di vulnerabilità 3. Immettere quindi i dettagli minimi quali: il nome, una breve descrizione, il livello di sicurezza, l’URL (ove applicabile). È anche possibile specificare il tempo necessario per eseguire questo controllo. 62 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di GFI LANguard N.S.S. 4. Fare ora clic con il tasto destro del mouse sull’elenco di condizioni ‘Trigger’ (Di Attivazione) e selezionare “Add check” (Aggiungi controllo) 5. Selezionare ‘Script’ nell’elenco dei tipi di ‘Check’ (Controlli). Selezione dello script che contiene il codice di controllo di vulnerabilità 6. Specificare la locazione dello script "c:\myscript.vbs". Fare clic su ‘Add’ (Aggiungi) per aggiungere vulnerabilità. Verrà eseguito durante la successiva scansione per vulnerabilità. 7. Per metterlo alla prova, basta semplicemente effettuare la scansione della macchina host locale e si vedrà l’avviso di vulnerabilità nella sezione “vulnerabilità varie” del nodo delle vulnerabilità dei risultati di scansione. Aggiunta di un controllo CGI È anche possibile aggiungere vulnerabilità senza scrivere degli script. Per esempio, un controllo di vulnerabilità CGI. Per farlo, procedere come segue: 1. Passare al nodo ‘GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles’ (GFI LANguard N.S.S. Programma principale > Configurazione > Profili di scansione). 2. Passare alla scheda ‘Scanned Vulnerabilities’ (Vulnerabilità sottoposte a scansione) e selezionare il nodo delle vulnerabilità CGI. Ora fare clic sul pulsante ‘Add’ (Aggiungi). Viene visualizzata la finestra di dialogo ‘new CGI vulnerability check’ (Nuovo controllo di vulnerabilità CGI). Manuale di GFI LANguard N.S.S. Aggiunta di controlli di vulnerabilità tramite condizioni o script • 63 Creazione di nuove Vulnerabilità CGI 3. Immettere ora i dettagli minimi, quali il nome, una breve descrizione, il livello di sicurezza, l’URL (ove applicabile). È anche possibile specificare il tempo necessario per eseguire questo controllo. 4. Specificare il metodo HTTP: i 2 metodi supportati da GFI LANguard N.S.S. nella sua sezione ‘CGI abuse’ (Abuso CGI) sono GET e HEAD. 5. Specificare l’URL da controllare: si tratta dell’URL che GFI LANguard N.S.S. deve interrogare. 6: Specificare la ‘Return String:’ (Stringa di ritorno): si tratta di ciò che GFI LANguard N.S.S. deve cercare nell’informazione resa per vedere se la macchina è vulnerabile nei confronti di questo attacco. Aggiunta di altri controlli di vulnerabilità È anche possibile aggiungere vulnerabilità senza scrivere degli script. Utilizzano lo stesso formato di base del controllo di vulnerabilità CGI, tuttavia è possibile impostare condizioni più complesse. Per farlo, procedere come segue: 1. Passare al nodo ‘GFI LANguard N.S.S. Main Program > Configuration > Scanning Profiles’ (GFI LANguard N.S.S. Programma principale > Configurazione > Profili di scansione). 2. Passare alla scheda ‘Scanned Vulnerabilities’ (Vulnerabilità sottoposte a scansione) e selezionare il tipo di vulnerabilità che si desidera aggiungere facendo clic sulla categoria cui la nuova vulnerabilità dovrà appartenere. Ora fare clic sul pulsante ‘Add’ 64 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di GFI LANguard N.S.S. (Aggiungi). Viene visualizzata la finestra di dialogo ‘New vulnerability Check’ (Nuovo controllo di vulnerabilità). Creazione di una nuova Vulnerabiltà 3. Immettere ora i dettagli minimi, quali il nome, una breve descrizione, il livello di sicurezza, l’URL (ove applicabile). È anche possibile specificare il tempo necessario per eseguire questo controllo. 4. Si deve poi specificare cosa controllare. Per aggiungere qualcosa da controllare, fare clic con il pulsante destro del mouse nella finestra ‘Trigger condition’ (Attiva condizione) e aggiungere un nuovo controllo. 5. È possibile specificare uno dei seguenti elementi per stabilire un contrassegno delle vulnerabilità di: • • Sistema operativo o è o non è Chiave di registro o o esiste non esiste Nota: funziona solo con HKEY_LOCAL_MACHINE • Percorso di Registro o o esiste non esiste Nota: funziona solo con HKEY_LOCAL_MACHINE Manuale di GFI LANguard N.S.S. Aggiunta di controlli di vulnerabilità tramite condizioni o script • 65 • Valore di Registro o è pari a o non è pari a o è minore di o è maggiore di Nota: funziona solo con HKEY_LOCAL_MACHINE • • • • • • • • • • Service pack o o è non è o è inferiore a o è superiore a Hotfix o o è installato non è installato o è installato o non è installato IIS Versione IIS o è o non è o è inferiore a o è superiore a Servizio RPC o è installato o non è installato Servizio NT o è installato o non è installato Esecuzione del servizio NT o è in esecuzione o non è in esecuzione Tipo di avvio del servizio NT o automatico o manuale o disabilitato Porta (TCP) o è aperta o è chiusa Porta UDP o è aperta o è chiusa 66 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di GFI LANguard N.S.S. • Banner FTP è o o non è Nota: è possibile creare espressioni che ricerchino versioni da 1.0 a 1.4 e versioni da 2.0 a 2.2, ma non versioni da 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner HTTP o è o non è Nota: è possibile creare espressioni che ricerchino versioni da 1.0 a 1.4 e versioni da 2.0 a 2.2, ma non versioni da 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner SMTP o è o non è Nota: è possibile creare espressioni che ricerchino versioni da 1.0 a 1.4 e versioni da 2.0 a 2.2, ma non versioni da 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner POP3 o è o non è Nota: è possibile creare espressioni che ricerchino versioni da 1.0 a 1.4 e versioni da 2.0 a 2.2, ma non versioni da 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner DNS o è o non è Nota: è possibile creare espressioni che ricerchino versioni da 1.0 a 1.4 e versioni da 2.0 a 2.2, ma non versioni da 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner SSH o è o non è Nota: è possibile creare espressioni che ricerchino versioni da 1.0 a 1.4 e versioni da 2.0 a 2.2, ma non versioni da 1.5 a 1.9. Si vedano gli esempi di seguito. • Banner Telnet o è o non è Nota: è possibile creare espressioni che ricerchino versioni da 1.0 a 1.4 e versioni da 2.0 a 2.2, ma non versioni da 1.5 a 1.9. Si vedano gli esempi di seguito. • Script o restituisce Vero (1) o restituisce Falso (0) Manuale di GFI LANguard N.S.S. Aggiunta di controlli di vulnerabilità tramite condizioni o script • 67 6. Come si può notare, ogni opzione summenzionata è dotata della propria serie di criteri sui quali può essere basato il controllo di vulnerabilità. Se si creano controlli di vulnerabilità troppo generici, si ricevono troppi rapporti falsi. Pertanto, se si decide di creare i propri controlli di vulnerabilità, accertarsi di progettarli in modo molto specifico e di pensarci e pianificarli molto bene. Non è necessario attivare un controllo di vulnerabilità solo con un elemento di quelli sopra elencati; si può impostare il controllo per più condizioni, ad esempio: • Controlla il Sistema Operativo • la porta XYZ • il banner “ABC” • script LANS, esecuzione QRS e controlla la vulnerabilità Se vengono soddisfatti tutti i criteri precedenti, allora e soltanto allora, viene attivato il controllo di vulnerabilità. Nota: la creazione di espressioni consente di eseguire un controllo di vulnerabilità come quello seguente, utilizzato per controllare la versione di Apache presente su una macchina: ~.*Apache/(1\.([02]\.[0-9]|3\.([0-9][^0-9]|[0-1][0-9]|2[0-5]))|2\.0.([0-9][^0-9]|[0-2][0-9]|3[08])). Per coloro che sono esperti del linguaggio C o Perl, il formato sopra descritto è lo stesso utilizzato in tali linguaggi. Esistono molte pagine di aiuto su Internet sulle modalità di utilizzo di questo formato. Negli esempi successivi cerchermo di spiegarlo, ma per ulteriore aiuto, consultare la fine della presente sessione per un collegamento ipertestuale. Qaualora si desideri vedere un esempio di creazione di una nuova Vulnerabilità contenente uno script, consultare la “Documentazione sullo scripting di GFI LANguard N.S.S.” 68 • Aggiunta di controlli di vulnerabilità tramite condizioni o script Manuale di GFI LANguard N.S.S. Risoluzione dei problemi Introduzione Questo capitolo descrive come risolvere eventuali problemi con il prodotto. Le principali fonti di informazioni disponibili per gli utenti sono le seguenti: 1. Il presente manuale – la maggior parte dei problemi può essere risolta leggendo il manuale. 2. La knowledgebase di GFI – http://kbase.gfi.com. 3. Il sito del supporto GFI – http://support.gfi.com 4. Contattando l’assistenza [email protected] tecnica di GFI all’indirizzo email 5. Contattando l’assistenza tecnica di GFI attraverso il servizio di LiveSupport all’indirizzo http://support.gfi.com/livesupport.asp 6. Contattando telefonicamente il nostro servizio di assistenza tecnica. Knowledgebase GFI mantiene una knowlegdebase contenente le risposte ai problemi più comuni. In caso di problemi, consultare prima la knowledgebase. Il sito Web con la knowledgebase dispone sempre dell’elenco più aggiornato delle richieste di assistenza e delle patch. La knowledgebase è disponibile sul sito: http://kbase.gfi.com Richiesta di assistenza tramite email Se il problema non può essere risolto neanche dopo aver consultato la knowledgebase ed il presente manuale, è possibile contattare il reparto assistenza di GFI. Il modo migliore per contattarlo è tramite email, perché così si possono inserire informazioni di cruciale importanza, quali un allegato che consentirà a noi di risolvere il problema più rapidamente. Il Troubleshooter (Esperto nella risoluzione dei problemi), compreso nel gruppo di programmi, genera automaticamente un certo numero di file richiesti da GFI per fornire l’assistenza tecnica. I file contengono le impostazioni di configurazione, ecc. Per generare questi file, avviare il troubleshooter e seguire le istruzioni dell’applicazione. Inoltre, per ottenere tutte le possibili informazioni, saranno anche poste delle domande. Si usi il tempo necessario per rispondere a tali domande in modo accurato. Senza informazioni adeguate non sarà possibile diagnosticare in modo corretto il problema. Manuale di GFI LANguard N.S.S. Risoluzione dei problemi • 69 Passare quindi alla directory dell’assistenza, situata sotto la directory del programma principale, ‘ZIP the files’ (Compatta i file) e inviare i file appena generati all’indirizzo email: [email protected]. Accertarsi innanzitutto di avere registrato il proprio prodotto sul nostro sito Web: http://www.gfi-italia.com/pages/regfrm.htm! Risponderemo alla richiesta entro 24 ore o meno, a seconda del fuso orario. Richiesta di supporto tramite web-chat E’ anche possibile richiedere assistenza attraverso LiveSupport (webchat). E’ possibile contattare il servizio assistenza di GFI utilizzando il servizio LiveSupport all’indirizzo http://support.gfi.com/livesupport.aspAssicurarsi innanzitutto di avere registrato il proprio prodotto sul nostro sito Web: http://www.gfi.com/pages/regfrm.htm ! Richiesta di supporto telefonico E’ anche possibile contattare GFI telefonicamente e richiedere assistenza tecnica. A tale proposito, si prega di consultare il sito web per i corretti recapiti telefonici e i nostri orari di ufficio, in base alla vostra sede. Sito web di supporto: http://support.gfi.com Assicurarsi innanzitutto di avere registrato il proprio prodotto sul nostro sito Web: http://www.gfi.com/pages/regfrm.htm ! Forum via Web E’ disponibile un servizio di supporto utente-utente tramite il forum via web. Si può accedere al forum dal sito: http://forums.gfi.com/ Notifiche di aggiornamento delle versioni Raccomandiamo fortemente di iscriversi alla nostra lista di notifiche di aggiornamento delle versioni. In questo modo sarete immediatamente informati sulla creazione di nuovi prodotti. Per sottoscrivere tale servizio, andare sul sito: http://support.gfi.com 70 • Risoluzione dei problemi Manuale di GFI LANguard N.S.S. T Traccia del percorso 56 Indice analitico U Users (Utenti) 61 Utenti 5, 19 Utenti) 61 X ‘ XML 6 ‘SNMP Audit’ (Controllo SNMP) 58 C Condivisioni 5, 6, 17 D DNS ricerca DNS 55 G gruppi 5, 20 H Hot fixes(Hotfix) 21 HTML 6 L Licenza 7 P Password 6 Politica delle password 18 politica di sicurezza 5 Politica di sicurezza 5 Porte aperte 6 R Registry (Registro di configurazione del sistema – Registry) 18 Requisiti di sistema 9 ricerca DNS 55 Ricerca DNS 57, 58, 59, 60 S Servizi 6 Sistema Operativo 6 Sistema Operativo 6 SNMP 14, 58 Manuale di GFI LANguard N.S.S. Risoluzione dei problemi • 71