Come verificare le intrusioni
Transcript
Come verificare le intrusioni
ICT e Internet Come verificare le intrusioni 14.03.2005 Se vogliamo imparare a proteggere il nostro computer è necessario imparare a controllare gli accessi alla rete, identificarne la sorgente e l'intento All'interno del nostro sistema operativo ci sono vari programmi che aprono porte di comunicazione: alcuni di essi hanno un valido motivo per compiere questa azione, ma altri possono rappresentare un pericolo per la nostra sicurezza ed esporci al rischio di una intrusione non autorizzata, con tutte le problematiche che questo ne comporterebbe. Possiamo tenere sotto controllo le nostre connessioni di rete attraverso il comando ''netstat''. Vediamo di seguito come utilizzare questo comando. Apriamo una finestra di prompt di comandi (raggiungibile attraverso il menù di avvio, accessori) e digitiamo al suo interno netstat -aon. Il risultato sarà simile al seguente: Connessioni attive Protocollo Indirizzo locale Indirizzo esterno Stato PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 944 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1016 TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1016 TCP 192.168.1.130:3066 207.68.178.16:80 CLOSE_WAIT 1416 TCP 192.168.1.130:3067 195.141.86.81:80 CLOSE_WAIT 1416 Utilizzando questo commando possiamo controllare quali sono le porte aperte sul nostro sistema (ad esempio nella prima linea possiamo leggere che la porta 135 risulta aperta su tutte le interfacce di rete (0.0.0.0:135, LISTENING). Possiamo inoltre notare delle connessioni in attesa di chiusura con sorgente locale 192.168.1.30 e destinazione 207.68.178.16. La porta sorgente è la 3066, mentre la porta di destinazione è la 80. Da queste informazioni possiamo intuire che è stata fatta una chiamata web verso l'indirizzo IP 207.68.178.16.80, poiché la porta 80 è appunto la porta HTTP. Per verificare a cosa corrisponde una determinata porta o un servizio possiamo utilizzare la seguente pagina web: http://www.securitystats.com/tools/portsearch.php Se durante i nostri controlli sulle porte aperte notiamo una porta di cui non comprendiamo l'utilità o desta i nostri sospetti, possiamo utilizzare FPORT, un ottimo tool della Foundstone, che ci permette di associare le porte aperte al programma che le utilizza. Questo tool può essere prelevato gratuitamente al seguente link: http://www.foundstone.com/resources/termsofuse.htm?file=fport.zip Eseguendo fport.exe (in maniera analoga a come descritto in precedenza relativamente al comando netstat) dal prompt di comandi il risultato sarà simile al seguente: Pid Process Port Proto 944 svchost >> 135 TCP 4 System >> 139 TCP 4 System >> 445 TCP 1016 svchost >> 1025 TCP Path C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe Dal risultato possiamo ottenere i seguenti dati utili: Process: il nome del processo che utilizza la porta di comunicazione Port: la porta utilizzata Path: la posizione del programma all'interno del nostro hard disk Elenchiamo di seguito alcuni utili strumenti per la prevenzione di accessi non autorizzati al nostro sistema. Antivirus: Attraverso un efficiente e costantemente aggiornato sistema antivirus è possibile individuare e difendere il proprio computer da pericolose backdoors o trojan, che possono compromettere la sicurezza del nostro sistema. Tra i sistemi Antivirus più diffusi in ambienti Microsoft possiamo citare Norton Antivirus, Mcafee VirusScan, NOD32. Firewall: Per comprendere in modo semplice il funzionamento di un Firewall possiamo paragonarlo ad un programma che continuamente esegue il comando netstat sul nostro computer e applica alcune regole e/o filtri a tutto quello che vede. Possiamo ad esempio dire al nostro Firewall di bloccare tutte le nostre porte che risultano in LISTENING verso l'esterno. In questo modo, anche in presenza di un servizio vulnerabile che potrebbe compromettere la sicurezza del nostro sistema riusciamo ad essere comunque protetti dal Firewall, che non autorizza le connessioni dall'esterno al nostro Personal Computer. Agendo sulle impostazioni del firewall possiamo inoltre decidere chi è autorizzato ad accedere ai nostri servizi, ad esempio possiamo decidere che un indirizzo IP possa accedere al nostro servizio di FTP,ed automaticamente tutti gli altri verranno bloccati. Tra i Firewall in ambiente Windows più diffusi possiamo citare BlackICE, Conseal Firewall e Norton Internet Security. Sniffers: Uno sniffer è un programma che memorizza il traffico di rete sul nostro computer, in modo da poterlo analizzare successivamente. Gli sniffer permettono di memorizzare solo parti del traffico in passaggio, impostando alcuni filtri. Uno degli sniffer più comuni è Ethereal. Intrusion Detection Systems (IDS): analogamente al funzionamento di uno sniffer, un Intrusion Detection System raccoglie e memorizza il traffico di rete. A differenza di uno sniffer che si occupa solamente della memorizzazione, un IDS analizza il contenuto e fornisce informazioni comprensibili su cosa realmente sta accadendo nella rete. Fonte: @ Mediaservice.net (Data Security Department), Claudio Prono Copyright 2008 © Eurocons Consorzio di Imprese per la Consulenza Aziendale | P.IVA 06586550011 | Condizioni generali | Privacy | Credits | Search Marketing: TSW | Webmaster