[ precedente ] [ Contenuti ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ I ] [ successivo ]

Securing Debian Manual
Capitolo 8 - Strumenti per la sicurezza in Debian


FIXME: Trattazione da integrare

Debian offre anche molti strumenti per la sicurezza, tali da garantire una configurazione ottimale della postazione. Questi comprendono la protezione dei sistemi di informazione mediante firewall (a livello sia di pacchetti, sia di applicazioni), la ricerca delle intrusioni (basata sia su rete, sia su singoli host), la valutazione dei punti deboli e poi, antivirus, reti private, ecc..

A partire da Debian 3.0 (woody), la distribuzione è caratterizzata da software specifico per la crittografia integrato nella distribuzione principale. OpenSSH e GNU Privacy Guard sono inclusi nell'installazione predefinita e già adesso i browsers, i server di rete, i database e via dicendo, presentano un potente sistema di cifratura. Per le future versioni è già pianificata un'ulteriore integrazione della crittografia. Questo tipo di software, per essere esportato, viste alcune limitazioni negli Stati Uniti, non è stato diffuso con la distribuzione principale, ma è stato incluso nei siti non-US.


8.1 Strumenti per la valutazione delle vulnerabilità da remoto

Gli strumenti forniti da Debian per valutare le vulnerabilità da remoto sono: [25]

nessus - composto da un client (nessus), usato come interfaccia GUI e da un server (nessusd), che lancia gli attacchi programmati è, di gran lunga, il più completo e aggiornato. Conosce i punti deboli di un numero consistente di sistemi contenenti applicazioni di rete, server ftp, server www, ecc.. Le ultime versioni sono in grado di analizzare un sito web e provare a scoprire quali, fra le pagine disponibili, potrebbero essere attaccate. Ci sono anche dei client Java e Win32 (non inclusi in Debian), utilizzabili per contattare il server dell'organizzazione aziendale.

Whisker, scansionatore per la valutazione di vulnerabilità dedicato solo al web, presenta tattiche anti-IDS (la maggior parte delle quali non è più solamente anti-IDS) ed è uno dei migliori scansionatori cgi: può scoprire un server WWW e lanciarvi contro solo una determinata tipologia di attacchi. Il database usato per la scansione è facilmente modificabile, al fine di ottenere nuove informazioni.

Bass (Bulk Auditing Security Scanner - Scansionatore per verifiche di sicurezza) e Satan (Security Auditing Tool for Analysing Networks - Strumento di verifica della sicurezza per l'analisi di reti) devono essere considerati come programmi dimostrativi di un concetto, piuttosto che veri e propri strumenti di verifica; entrambi sono alquanto datati e non aggiornati (SATAN, però, è stato il primo strumento semplice (GUI) per il controllo delle vulnerabilità e Bass dà ancora prestazioni molto elevate).


8.2 Strumenti per effettuare scansioni di rete

Debian fornisce alcuni mezzi dedicati alla scansione di host da remoto (ma non anche della verifica delle vulnerabilità) che, in certi casi, possono essere usati come scansionatori per un primo tipo di "attacco", volto a determinare i servizi dell'host remoto disponibili. Al momento Debian fornisce:

Mentre queso e xprobe offrono solo l'esame da remoto del sistema operativo (usando TCP/IP fingerprinting), nmap e knocker svolgono sia l'esame del sistema operativo, sia la scansione delle porte dell'host remoto. D'altra parte, per le tecniche di attacco basate su ICMP da remoto si possono usare hping2 e icmpush.

Progettato specificamente per reti di tipo Netbios, nbtscan viene impiegato per scansionare le reti IP e per recuperare informazioni riguardo ai nomi (fra cui: nomi degli utenti, nomi della rete, indirizzi di tipo MAC...) dai server su cui sia abilitato SMB.

Infine, per rilevare intrusioni nella rete e verificare se i NIDS possano essere aggirati da attacchi mediante frammentazione, si può usare fragrouter.

FIXME: Controllare se il Bug #153117 (ITP fragrouter) sia incluso.

FIXME: aggiungere informazioni basate su Debian Linux Laptop for Road Warriors, che descrive come usare Debian ed un portatile per scansionare reti wireless (senza fili) (803.1).


8.3 Controlli interni

Al momento solamente il tool chiamato tiger può essere usato per effettuare un controllo interno (chiamato anche cassetta bianca) degli hosts per controllare se il file system è configurato in modo appropriato, quali processi sono in ascolto nell'host, etc.


8.4 Revisione del codice sorgente

Debian mette a disposizione tre pacchetti che possono essere usati nella revisione dei sorgenti C/C++ e nella ricerca di errori di programmazione che potenzialmente possono essere considerati problemi per la sicurezza:


8.5 Rete privata virtuale (VPN)

Un network privato virtuale (VPN) è un gruppo di due o più computer che hanno tra di loro una connessione privata con un limitato accesso pubblico, VPN permette la connessione tra un singolo computer e una rete privata (client-server), oppure tra una LAN remota ad una rete privata (server-server). VPN include la possibilità di cifrare e autenticare in modalità sicura utenti remoti, oppure hosts e metodi per nascondere la configurazione della rete.

Debian mette a disposizione alcuni pacchetti per configurare correttamente una rete privata cifrata:

Il pacchetto FreeSWAN probabilmente è la miglior scelta tra tutte quelle proposte, può essere usato da chiunque usi il protocollo di sicurezza IPsec (RFC 2411). Comunque gli altri pacchetti presenti nella lista possono aiutare a creare facilmente un tunnel. Il point to point tunneling protocol (PPTP) è un protocollo per VPN di proprietà della Microsoft. Viene supportato da Linux, ma sono noti seri problemi riguardanti la sicurezza.

Per ulteriori informazioni leggete il VPN-Masquerade HOWTO (copre sia IPsec che PPTP), il VPN HOWTO (copre PPP su SSH) il Cipe mini-HOWTO ed il PPP and SSH mini-HOWTO.


8.5.1 Tunneling punto punto

Se volete avere un tunnel sicuro tra sistemi operativi differenti (nello stesso tempo sistema operativo Microsoft e clienti LINUX) e che IPsec non sia un opzione (è il solo fornito per Windows 2000 e Windows XP), dovrete usare PoPToP (server tunneling punto punto), presente nel pacchetto pptpd.

Se volete usare l'autenticazione e criptazione di Microsoft messa a disposizione dal pacchetto ppp, leggete questo estratto tratto dalle FAQ:

     È necessario l'uso di PPP 2.3.8 se volete una completa
     compatibilità con il protocollo di autenticazione e criptazione
     MSCHAPv2/MPPE. La ragione di questo è che la patch MSCHAPv2/MPPE
     attualmente disponibile (19990813) ha dei conflitti con versioni diverse
     dalla 2.3.8. Se non avete bisogno di avere completa compatibilità 
     con i protocolli di autenticazione e criptazione, qualsiasi 
     versione della serie 2.3 di PPP va bene.

Comunque, dovete anche applicare una patch al kernel, presente nel pacchetto kernel-patch-mppe, che mette a disposizione il modulo pp-mppe per pppd.

Avere un account cifrato con ppptp vi obbliga a conservare le passwords in chiaro, senza cifratura e nel protocollo MS_CHAPv2 sono presenti buchi di sicurezza conosciuti.


8.6 Infrastruttura a chiave pubblica (PKI)

L'infrastruttura a chiave pubblica (PKI) è un'architettura di sicurezza introdotta per fornire un maggior livello di confidenza nello scambiarsi informazioni tramite una rete insicura. Fa uso del concetto di chiavi pubbliche e private per verificare l'identità del mittente (firma) e per assicurare la privacy (crittografia).

Nel prendere in considerazione una PKI ci si trova davanti a una serie di punti:

Debian GNU/Linux ha pacchetti che aiutano alcuni di questi compiti PKI. Includono OpenSSL (per la generazione delle certificazioni), OpenLDAP (come directory in cui tenere le certificazioni), gnupg e freeswan (con il supporto per lo standard X.509). Comunque, con il rilascio di Woody (Debian 3.0), Debian non supporta nessuna delle Autorità Certificatrici disponibili liberamente, come pyCA, OpenCA o esempi di CA da OpenSSL. Per maggiori informazioni leggete il libro sull'Open PKI.


8.7 Infrastruttura SSL

Debian fornisce alcune certificazioni SSL con la propria distribuzione, così che possano essere installate localmente. Si trovano nel pacchetto ca-certificates. Questo pacchetto fornisce un deposito locale di certificazioni che sono state inviate a Debian e approvate (ossia verificate) dal manutentore del pacchetto, utili per applicazioni OpenSSL che verifichino le connessioni SSL.

FIXME: leggere debian-devel per vedere se ci sono aggiunte.


8.8 Anti-virus

Non ci sono molti anti-virus in Debian GNU/Linux, probabilmente perché gli utenti GNU/Linux non sono danneggiati dai virus. Il modello di sicurezza degli UN*X fa distinzione tra i processi privilegiati (root) ed i processi utente, quindi un eseguibile "ostile" che un utente non-root riceve o crea ed esegue non può infettare o manipolare l'intero sistema. Comunque, i worms per GNU/Linux ed i virus esistono, anche se non ce n'è nessuno (beh, speriamo) che si sia diffuso a macchia d'olio in una distribuzione Debian. In ogni caso, gli amministratori potrebbero voler mettere su dei gateway anti-virus che proteggano dai virus altri sistemi più vulnerabili che fanno parte della loro rete.

Attualmente Debian GNU/Linux fornisce i seguenti strumenti per realizzare ambienti anti-virus:

Come si può vedere, Debian non fornisce attualmente nessun software anti-virus nella distribuzione principale. Comunque, ci sono progetti anti-virus liberi che potrebbero essere inclusi nelle future versioni di Debian GNU/Linux:

C'è anche un pacchetto virussignatures che fornisce le signature di tutti i pacchetti e uno script per scaricare le ultime signature dei virus da http://www.openantivirus.org/latest.php.

FIXME: Controllare se adesso sono disponibili pacchetti antivirus. Clamav è disponibile? (Vedere se ne è stato fatto un pacchetto Debian).

FIXME: Controllare se scannerdaemon non sia in realtà lo scannerdaemon dell'open antivirus (leggere ITPs).

Comunque Debian non fornirà mai antivirus commerciali come ad esempio Panda Antivirus, NAI Netshield (uvscan), Sophos Sweep, TrendMicro Interscan, o RAV. Per indicazioni maggiori, vedete la Linux anti-virus software mini-FAQ. Questo non significa che questo software non possa essere installato opportunamente su un sistema Debian.

Per maggiori informazioni su come realizzare un sistema di individuazione dei virus, leggete l'articolo di Dave Jones Building an E-mail Virus Detection System for Your Network.


8.9 GPG

Oggigiorno la firma digitale e a volte, la cifratura delle e-mail, sono molto diffuse: per esempio, molte persone che partecipano a mailing list (gruppi di discussione a mezzo e-mail) firmano le proprie mail verso la lista. Le firme a chiave pubblica sono gli unici mezzi per verificare che un'e-mail sia stata spedita proprio dal mittente e non da qualcun altro.

Debian GNU/Linux offre un certo numero di clienti, dotati di funzioni incorporate per la firma delle e-mail, che interagiscono sia con gnupg, sia con pgp:

I Key server (server delle chiavi) permettono di scaricare chiavi pubbliche conclamate, in modo da poter verificare le firme. Uno di questi è http://wwwkeys.pgp.net. gnupg può rilevare automaticamente le chiavi pubbliche non ancora comprese nel proprio "portachiavi". Ad esempio, per configurare gnupg affinché utilizzi il server di chiave menzionato, dovrete modificare il file ~/.gnupg/options ed aggiungere la seguente riga: [26]

     keyserver wwwkeys.pgp.net

La maggior parte dei server di chiavi è collegata, in modo che quando viene aggiunta su uno di essi una chiave pubblica, tale aggiunta è riprodotta su tutti gli altri. C'è anche un pacchetto Debian GNU/Linux, debian-keyring, che fornisce tutte le chiavi pubbliche degli sviluppatori Debian. I portachiavi di gnupg sono installati nella cartella /usr/share/keyrings/.

Per maggiori informazioni:


[ precedente ] [ Contenuti ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ I ] [ successivo ]

Securing Debian Manual

2.96 20 septiembre 2003Sabato, 30 Agosto 2003 18:27:45 +0200

Javier Fernández-Sanguino Peña jfs@computer.org
Per la traduzione si veda l'Appendice I