In una situazione ideale, i professionisti dell'information security dovrebbero avere a disposizione un budget illimitato per poter effettuare un'accuratissima analisi dei malfunzionamenti e porre rimedio alle vulnerabilità. Ma, come vedremo, non è necessario disporre di budget elevati per avere un prodotto di qualità. Di seguito trovate cinque tool freeware raccomandati da SearchSecurity.it, che possono aiutarvi a rendere più sicura la vostra rete senza intaccare il vostro budget.
Nmap
Nmap (Network Mapper), un tool
open source per l'esplorazione della rete e l'auditing della sicurezza, che è
usato da molti amministratori che desiderano mappare e testare le loro reti alla
ricerca delle vulnerabilità. Nmap vanta una vasta gamma di tecniche per il port
scanning destinate alla scansione veloce di grandi e piccole reti. Nmap è
inoltre conosciuto per la sua capacità ineguagliata di individuare non solo il
sistema operativo di una macchina e i servizi che offre, ma anche i filtri di
pacchetto e i firewall in uso sulla rete.
Eseguendo Nmap, scoprite quali porte sono visibili su una macchina e i servizi che vi stanno girando sopra, potendo così inventariare o identificare i punti deboli della rete. Le caratteristiche di mapping di Nmap vi consentono inoltre di verificare se sono avvenuti cambiamenti dall'ultima scansione. Per esempio, potete vedere se una macchina infettata da un worm sta provando ad aprire le porte per “ascoltare” le istruzioni dal suo controller.
Mentre Nmap può dirvi quali macchine e servizi sono disponibili su una rete, il modo più rapido per identificare i servizi che possono essere sfruttati è utilizzare un security scanner. Il che ci porta a Nessus, il secondo tool freeware della nostra lista.
Nessus
Iniziato nel 1998, il progetto Nessus mirava a fornire un dispositivo gratuito
per il security scanner remoto, che fosse potente, aggiornato e facile da usare. Oggi,
Nessus è uno dei più apprezzati security scanner ed è consigliato da diverse
organizzazioni di information security, compreso SANS Institute. Nessus è stato
spesso il primo nell'introdurre caratteristiche innovative, quali la capacità
non solo di rilevare i difetti da remoto, ma anche quelli locali e le pacth
mancanti su host di rete, indipendentemente dal fatto che si stia lavorando con
Windows, Mac OS X oppure Unix. Incidentalmente, Nessus invoca Nmap all'inizio di
ogni scansione.
Tra le altre caratteristiche fondamentali di Nessus troviamo il test di servizi multipli: in altre parole, se l'host esegue più volte uno stesso un servizio, il programma svolge il test un equivalente numero di volte. Inoltre, la sua intelligente modalità di riconoscimento, consente di dentificare i servizi che girano sulle porte non standard. Nessus, può anche testare i servizi SSL, quali HTTP e SMTP. E, mentre molti security scanner effettuano soltanto verifiche non distruttive degli audit di sicurezza, Nessus può mostrare come un host si comporterebbe nel caso di un attacco da parte di chi tenta di accedere senza autorizzazione.
I database di Nessus per il controllo della sicurezza sono aggiornati quotidianamente, con ogni test scritto come plugin esterno, ovvero come semplice programma di sicurezza che verifica la presenza o meno di un determinato difetto. I plugin sono scritti nel Nessus Attack Scripting Language e sono eseguiti in un ambiente presente su una macchina virtuale, questo rende Nessus uno scanner estremamente sicuro. Attualmente, esistono oltre 10.000 plugin differenti usati da Nessus e un feed RSS di tutti i più recenti controlli di sicurezza permette di monitorare quali plugin sono aggiunti e quando. Nessus è stato intensamente testato e verificato per lungo tempo su reti di tutte le dimensioni.
Microsoft Baseline Security Analyzer &
Windows Server Update Services
Quella di mantenere aggiornate le
patch dei sistemi è un problema sentito. E così Microsoft ha riunito il suo tool
gratuito Baseline Security Analyzer (MBSA) Version 2 con il Windows Server
Update Services (WSUS), con l'obiettivo di migliorare il processo di amministrazione della patch.
MBSA rileva i più comuni errori nelle configurazioni di sicurezza e l'eventuale mancata installazione degli aggiornamenti nei computer che usano Windows e nelle applicazioni Office. I report prodotti da MBSA mostrano precise classificazioni per ogni controllo che ha dato esito negativo secondo le raccomandazioni di Microsoft sulla sicurezza e propone precise linee guida su come risolvere i problemi, compresi i link ai bollettini di sicurezza che contengono le patch. Ogni bollettino, inoltre, include le informazioni sui valori di registro, sulle versioni dei file e sui cambiamenti di configurazione che possono essere usati per verificare che la patch sia stata installata correttamente.
MBSA può essere usato insieme con Microsoft Update e WSUS, i componenti di Windows Server che si occupano di patch e upgrade. WSUS vi permette di scaricare gli aggiornamenti dal sito di Microsoft e di distribuirli ai vostri utenti. Una caratteristica fondamentale di WSUS è la capacità di assegnare gli aggiornamenti a computer specifici. Pur non prevedendo WSUS il supporto per gli aggiornamenti di applicazioni di terze parti, rende molto più facile l'installazione delle patch per i prodotti Microsoft.
Tool per il benchmark
Dopo che avete
effettuato la scansione dei vostri host di rete, che li avete controllati e
avete installato eventuali patch, sarebbe bene possiate verificare se le
configurazioni delle vostre applicazione o del sistema operativo siano conformi
alle attuali best practice. A questo scopo potreste usare il Benchmark and
Scoring Tool gratuito di Center for Internet Security (CIS), il quale
costituisce un modo facile e veloce per valutare i vostri sistemi e confrontare
il loro livello di sicurezza rispetto al minimo riferimento di sicurezza
definito dal Benchmark CIS. I vari report vi guideranno nel procedimento per
rendere più “solidi” sia i nuovi sistemi sia quelli già attivi per accertarvi
che le impostazioni di sicurezza siano conformi con la configurazione
specificata nel Benchmark, che viene aggiornata non appena sono scoperte nuove vulnerabilità.
Questi Benchmark sono unici, non tanto perché le regolazioni e le azioni sono sconosciute, quanto perché è stato il consenso riscosso a livello mondiale fra diverse centinaia di professionisti della sicurezza a definire queste particolari configurazioni.
I Benchmark CIS Level I impongono un livello minimo di attenzione e possono essere applicati anche da chi ha poca competenza di sicurezza, poiché difficilmente potrebbero causare un'interruzione di servizio al sistema operativo o alle applicazioni che vi girano sopra.
I Benkmark CIS Level II vanno oltre il livello minimo e sono indirizzati agli amministratori di sistema che hanno sufficienti conoscenze di sicurezza per poterli applicare con scrupolo ai sistemi operativi e alle applicazioni che funzionano nei loro particolari ambienti.
OpenSSH
L'ultimo tool di cui parliamo è OpenSSH.
Riteniamo che il miglior modo per permettere alle applicazioni di autenticarsi
ad altre risorse sia di usare Secure Shell (SSH). Finché il collegamento fra i
servizi impiega il protocollo TCP, tali servizi possono utilizzare il canale SSH
per autenticarsi l'un l'altro e aumentare la sicurezza nei confronti dei
differenti tipi di attacchi.
Per esempio, SSH può cifrare le password e il traffico della rete fra il Web e i database server, prevenendo un'eventuale intercettazione, i trucchi per ingannare l'IP e il DNS, il source routing dell'IP e altri attacchi a livello della rete. OpenSSH è un'ottima implementazione, gratuita e open source di SSH, che supporta i protocolli standard SSH 1.3, 1.5 e 2.0.
Con OpenSSH, la crittografia comincia prima dell'autenticazione e nessuna password o altre informazioni sono trasmesse in chiaro, eliminando così i pericoli delle intercettazioni, dell'hijacking delle connessioni e altri attacchi. La crittografia, inoltre, è usata per proteggere da pacchetti “fasulli”.
In aggiunta, OpenSSH fornisce funzionalità sicure di tunnelling e diversi metodi di autenticazione, come chiavi pubbliche, password da usare una sola volta e l'autenticazione Kerberos.
