Il logon è l’aspetto principale per la connessione ad una rete. Una volta effettuata l’autenticazione è possibile accedere a tutte le risorse di rete per le quali abbiamo i diritti.

Un account che possiede i diritti di amministratore, ad esempio, ha l’accesso pieno a tutta la rete con la possibilità non solo di accedere a dati potenzialmente sensibili (a parte la regolamentazione sul discorso della privacy) ma anche di poter modificare i parametri della rete stessa con il rischio di comprometterne la funzionalità.

Mettere in sicurezza la fase di logon alla rete è quindi un aspetto importante per impedire l’accesso a persone non autorizzate.

Virus o Trojan possono essere installati sulla macchina da potenziali hackers in modo da visualizzare una finta schermata iniziale di logon di Windows 7 in modo di registrare lo username e la password. A questo punto la sicurezza è compromessa.

Tuttavia è possibile configurare Windows 7 in modo da forzare l’utente a premere la combinazione Ctrl+Alt+Delete per accedere al logon effettivo. Questo assicura che la schermata di logon che appare sia quella autentica.

1. PROCEDURA
Per impostare questa funzione sono richiesti solo pochi passaggi:

- Premere Windows Logo+R sulla tastiera per visualizzare la finestra di Run.

- Digitare control userpasswords2 e fare click su OK.

- Viene visualizzata la finestra User Accounts. Selezionare Advanced.

- Attivare l’opzione Require users to press Ctrl+Alt+Delete cliccando sul check box.

- Cliccare su OK.

Il risultato che si ottiene all’avvio di Windows 7 è che per poter effettuare il logon viene adesso richiesta la pressione della combinazione dei tasti Ctrl+Alt+Delete:

A questo punto possiamo effettuare il logon ed accedere alla rete in sicurezza.

Hai già letto questi articoli?

• Autenticazione in Windows 7 con sistemi NAS
• Setup di OSSEC (log analyzer) su CentOS 5
• Autenticazione tramite Public key in Linux
• Rights Management Service: introduzione

Monitorare gli accessi ai sistemi informatici è un requisito fondamentale per assicurare il più alto elevato standard di sicurezza della rete. Inoltre dovuto alla recente variazione del garante sulla legge della privacy che, dopo qualche posticipo, è entrata ufficialmente in vigore il 15 Dicembre 2009, agli amministratori di sistema è stata ulteriormente complicata la vita, come se questa non lo fosse già abbastanza…

Come prevede la normativa, bisogna registrare i log di accesso ai sistemi ed assicurare l’integrità dei file di sistema marcandoli temporalmente conservando il tutto per almeno sei mesi.

Tra le varie offerte disponibili sul mercato, la scelta è caduta su un software open source su piattaforma Linux chiamato OSSEC, un software IDS molto valido che risponde ai requisiti di legge ed è approvato dal Garante.

1. PREREQUISITI
Partendo dalla configurazione minima di CentOS 5.x, sono richiesti alcuni package aggiuntivi da installare per il corretto funzionamento. Tramite il comando yum andiamo ad installare i package richiesti:

# yum install gcc glibc make which mysql-devel mysql-server httpd mod_ssl php
# chkconfig httpd on
# chkconfig mysqld on

2. INSTALLAZIONE
Dal sito www.ossec.net si effettua il download dell’applicazione OSSEC-HIDS-2.3. OSSEC nel suo normale funzionamento salva i dati su file ma conviene appoggiarsi ad un database (sono supportati attualmente mySQL e postgreSQL) soprattutto se ci sono diversi server da monitorare e si vuole centralizzare il tutto.

L’abilitazione al supporto database (mySQL nel nostro caso) deve essere fatta durante l’installazione:

# tar -zxvf ossec-hids-2.3
# cd ossec-hids-2.3/src
# make setdb

# cd ..
# ./install.sh

Lanciata la procedura di installazione, selezionare la tipologia di installazione e i parametri che si vogliono configurare. L’applicazione viene installata in /var/ossec.

3. INSTALLAZIONE DELLA WEB GUI
Per installare l’interfaccia web di OSSEC, procedere in questo modo:

# wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz
# tar -zxvf ossec-wui-0.3.tar.gz
# mv ossec-wui-0.3 /var/www/html/ossec-wui

Eseguire lo script di configurazione dell’interfaccia web:

# cd /var/www/html/ossec-wui
# ./setup.sh

Impostare lo username (apache nell’esempio) e la password.

Aggiungere l’utente impostato precedentemente (apache) al gruppo ossec:

# vi /etc/group

ossec:x:500:apache

Impostare i permessi per la directory /var/ossec/tmp:

# cd /var/ossec
# chmod 770 tmp/ -R
# chown ossec:apache tmp/ –R

Riavviare Apache:

# service httpd restart

4. CONFIGURAZIONE
Importante da ricordare che se tra il server e l’agent è presente un firewall, la comunicazione di OSSEC avviene attraverso la porta UDP 1514.

Tramite il comando /var/ossec/bin/./manage_agent si creano gli agent dei server che saranno monitorati. Per procedere con la definizione degli agent:

# cd /var/ossec/bin/
# ./manage_agents

• Selezioniamo A per aggiungere un agent
• Definiamo un nome dell’agent: srv-service-lab
• Definiamo l’IP: 172.16.21.200
• Definiamo l’ID: 001
• Confermiamo digitando Y

Successivamente è necessario estrarre la chiave per configurare l’agent nell’host desiderato (srv-service-lab nell’esempio).

• Selezioniamo E per estrarre la chiave per l’agent
• Specifichiamo l’ID dell’agent da configurare
• Questa chiave andrà copiata dove richiesto durante l’installazione dell’agent

5. ABILITARE IL SUPPORTO DATABASE
Se si intende inviare i log al database, è necessario specificarlo prima di effettuare l’installazione quindi prima di lanciare lo script install.sh:

# cd ossec-hids-2.3/src
# make setdb
# cd ..
# ./install.sh

Dopo che l’installazione è terminata, abilitare il database:

# /var/ossec/bin/ossec-control enable database

Configurare MySQL

# mysql -u root -p

mysql> create database ossec;
mysql> grant INSERT,SELECT,UPDATE,CREATE,DELETE,EXECUTE on ossec.* to ossecuser@localhost;
mysql> set password for ossecuser@localhost=PASSWORD(‘password!’);
mysql> flush privileges;
mysql> quit

Effettuare il download dello schema e importarlo nel database creato:

# wget http://www.ossec.net/files/other/mysql.schema
# mysql -u root -p ossec < mysql.schema

Configurare OSSEC per inviare gli alerts a MySQL

Nell’esempio vengono inviati gli alert all’indirizzo IP 192.168.10.30, utilizzando ossecuser come utente.

<ossec_config>
<database_output>
<hostname>192.168.10.30</hostname>
<username>ossecuser</username>
<password>password!</password>
<database>ossec</database>
<type>mysql</type>
</database_output>
</ossec_config>

Riavviare OSSEC e verificare che non ci siano errori nel log tramite il comando:

# cat /var/ossec/logs/ossec.log

Per migliorare la reportistica e le statistiche, molto scarne dell’interfaccia web di OSSEC, si può utilizzare il prodotto SPLUNK nella sua versione free che consente di avere vari report in un formato grafico più chiaro e leggibile.

E’ qui riportato un esempio:

A questo punto non resta che mettere in sicurezza il server di OSSEC per evitare che venga compromesso.

6. SINCRONIZZARE DATA E ORA
E’ opportuno che l’ora e la data del server su cui è installato OSSEC siano corretti per salvare i log correttamente.

# yum install ntpd
# ntpdate ntp1.ien.it # Effettuiamo una prima sincronizzazione manuale
# chkconfig ntpd on
# service ntpd start

7. INSTALLAZIONE DEL CLIENT LINUX
L’installazione del client è molto semplice ma richiede l’installazione dei package richiesti per la compilazione di OSSEC.

# yum install gcc make which
# tar –xzvf ossec-hids-2.3.tar.gz
# cd ossec-hids-2.3
# ./install

Lanciata l’installazione, è sufficiente specificare agent come tipo di installazione.

Completata l’installazione, eseguire la configurazione del client per attivare la connessione  importando la chiave generata dal server:

# cd /var/ossec/bin/
# ./manage_agents

Terminata la configurazione, riavviare il daemon OSSEC:

# service ossec restart

TROUBLESHOOTING

1. OSSEC riporta un agent come non connesso.

Dopo aver verificato che l’agent nel server da verificare è in modalità running (nel caso effettuare un restart del servizio), è necessario rimuovere l’ID del server dalla coda di OSSEC:

# cd /var/ossec/queue/rids
# rm 002 (nel caso l’ID del server da rimuovere corrisponda a 002)
# service ossec restart

Fatta questa semplice procedura, l’interfaccia web di ossec dovrebbe segnalare l’agent del server come connesso.

Hai già letto questi articoli?

• Monitorare AS/400 con Nagios in CentOS
• Monitorare server ESX(i) con Nagios tramite plugin check_esx su CentOS
• Configurare il servizio SNMP in Windows 2008 R2
• Aggiornare OSSEC (log analyzer) alla versione 2.5.1

Un ulteriore modo per rafforzare la sicurezza di un sistema Linux contro accessi non autorizzati è l’utilizzo della chiave pubblica (public key) durante la fase di login. L’utilizzo delle PKI è la soluzione attualmente più efficacie su cui si basano le protezioni e le autenticazioni dei sistemi che necessitano standard di sicurezza molto elevati.

Vantaggi

• Elevato grado di sicurezza nel processo di autenticazione.
• Solo gli utenti con la chiave corretta possono autenticarsi nel sistema.
• Ogni chiave può essere protetta da password (ulteriore protezione).

Svantaggi

• Senza la giusta chiave non c’è modo di autenticarsi e quindi di accedere al sistema.
• La gestione delle chiavi può risultare laboriosa.

1. PROCEDURA

- generare la coppia di chiavi pubblica e privata.
# ssh-keygen -t rsa

La chiave privata viene salvata nel file id_rsa.
La chiave pubblica viene salvata nel file id_rsa.pub.

- creare la directory nascosta .ssh nella home user.
# mkdir ~/.ssh

- copiare la chiave pubblica nel file authorized_keys.
# cat id.rsa.pub > ~/.ssh/authorized_keys

- impostare i permessi sul file per evitare che altri utenti possano leggere i dati della chiave.
#chmod go-w ~/
# chmod 700 ~/.ssh
# chmod go-rwx ~/.ssh

- editare il file sshd_conf (deve essere effettuato come root).
# su -
# vi /ets/ssh/sshd_conf

- identificare e modificare i parametri come indicato.

PubkeyAuthentication         yes
AuthorizedKeysFile              .ssh/authorized_keys
PasswordAuthentication     no

- riavviare il servizio ssh per attivare la nuova configurazione
# service sshd restart

Una volta effettuato il restart del servizio ssh, l’unico modo per effettuare un login remoto è tramite l’utilizzo delle chiavi generate.

Per generare la chiave pubblica e privata è possibile utilizzare anche altri tools come ad esempio puttygen, membro della famiglia puTTY e soggetto a licenza MIT compatibile con la GNU GPL.

Hai già letto questi articoli?

• Mettere in sicurezza un sistema Linux
• KittY un’ alternativa al client PuttY per Windows
• Visualizzare il nome utente in una pagina web con IIS 7.5 in Windows 2008
• Mettere in sicurezza il logon di Windows 7

L’aspetto della sicurezza dei dati aziendali è ormai recepito come un fattore vitale per il business svolto anche dalle persone predisposte ad autorizzare “spese informatiche” che spesso non hanno un bagaglio tecnico adeguato alle spalle. La sicurezza di una rete non deve essere curata solo ed unicamente per le intrusioni dall’esterno, ma la protezione dei documenti da chiunque non sia autorizzato all’uso è un aspetto generale.

Nel mercato sono presenti diverse tecnologie per la protezione dei documenti più o meno efficienti, più o meno complesse e più o meno costose. Cosa adottare per l’azienda dipende principalmente dalle esigenze specifiche e anche dalle risorse tecnico/finanziarie disponibili.

Già sul mercato da qualche hanno, Microsoft ha introdotto una soluzione per rafforzare la sicurezza della rete mirata alla protezione dei documenti tramite il servizio Rights Management Service (RMS). RMS introdotto per la versione Windows Server 2003, è una tecnologia per la protezione dei documenti ed e-mail con applicazioni abilitate al servizio RMS per favorire la salvaguardia delle informazioni digitali da un uso non autorizzato.

In Windows Server 2008, RMS è già incluso ed è stato rinominato in Active Directory Rights Management Services per riflettere un più alto livello di integrazione con Active Directory.

1. PERCHE’ RMS

• Sistemi basati su ACL ed Encryption come EFS, ad esempio, non sono efficaci se il file viene spostato dalla partizione NTFS (copiato su un floppy, CD, USB pen).
• Documenti protetti con password possono essere facilmente craccati.
• Se assegno i diritti READ ONLY ad un documento, l’operazione di copia & incolla del contenuto in un altro documento non può essere bloccata.
• Se il dispositivo che contiene i documenti viene perso o rubato, il contenuto può essere accessibile a chiunque.
• RMS rende lo scambio della documentazione interna ad un’azienda più sicura.
• RMS è FIPS compliant.
• E’ un service che non necessita costi aggiuntivi per la licenza.

2. COSA FA RMS

• Tutti i documenti ed e-mail che si appoggiano a RMS sono criptati.
• La crittografia rimane allegata al file mentre sistemi come EFS proteggono i documenti solo se fisicamente salvati sulla partizione NTFS.
• A differenza di EFS, RMS lavora anche con i gruppi AD per l’assegnazione dei diritti.
• E’ possibile assegnare diverse tipologie di protezione a documenti ed e-mails: read only, modify, copy, print, forwarding, etc.

3. I LIMITI DI RMS

• In termini di sicurezza, il solo RMS non garantisce il grado più alto di protezione rispetto alla tecnologia PKI, ma scoraggia e rende più complicati eventuali tentativi di intrusione.
• Non protegge i documenti da foto, registrazioni vocali e screen capturing tools diversi da Microsoft.

4. I REQUISITI
Per il funzionamento di RMS server sono richiesti i seguenti componenti:

• Windows Server 2003
• Active Directory
• SQL server 200x
• ASP.Net
• Message Queuing
• IIS
• RMS server SP2 (solo per la versione 2003, nella versione 2008 è già incluso)

Per il funzionamento di RMS client i requisiti sono i seguenti:

• Office 2003, 2007 Professional – per pubblicare i documenti (publish)
• Office 2003, 2007 Standard – per accedere documenti (consume)
• RMS client SP2 (solo per Office 2003)
• RMS add-on (solo per Internet Explorer 6.0) – permette di accedere ai documenti protetti senza avere Office installato.

La distribuzione dell’RMS client può essere effettuata tramite GPOs, SMS o manualmente.

5. LA TOPOLOGIA RMS
Il core system è composto da un server RMS (licensing server) che gestisce le licenze per effettuare il publishing e consuming (protezione e accesso) dei documenti e un server SQL che gestisce i tre database creati da RMS: Configuration, Directory Services e Logging.

La perdita del licensing server non compromette la funzionalità del servizio RMS mentre la perdita o danneggiamento del database RMS comporta un danno talvolta irreversibile nel recupero dei documenti. Per questo motivo è fortemente consigliabile tenere l’RMS e il database SQL su server diversi .

A seconda della struttura di rete, i licensing server possono essere distribuiti su varie locazioni nel caso di linee lente, un workload eccessivo, etc.

RMS è implementato a livello di forest nell’AD quindi tutti i domini membri possono beneficiare di questo servizio. Due forest possono utilizzare lo stesso servizio RMS stabilendo una trust relationship.

6. NOTE
RMS è molto funzionale, relativamente semplice da implementare e soprattutto è un servizio aggiuntivo che non comporta nessun costo in termini di licenze.

Per affermare un progetto di questo tipo presso un’azienda o al management dove implica un “piccolo” stravolgimento della rete presente non sempre è un’impresa semplice. La presentazione deve fare leva sugli aspetti chiave della sicurezza e deve essere supportata da una demo ben fatta in modo da mostrare l’utilizzo pratico e i benefici per l’azienda anche a chi tecnicamente non è ferrato. Far cambiare certe abitudini può a volte essere più complicato che implementare un sistema come RMS:-)…

Hai già letto questi articoli?

• Rights Management Service: gestione del servizio
• Configurare Remote Assistance in Windows 2008 R2 tramite GPO
• Comprendere le Group Policy di Active Directory
• Integrare VMware ESXi 4.1 in Active Directory

IPCop è un ottimo firewall open source basato su Linux Debian custom. La configurazione tipo è possibile reperirla presso il sito ufficiale IPCop dove viene dettagliatamente documentata.

Ho trovato molto utili alcune modifiche ed informazioni per customizzare il sistema rendendolo più completo e sicuro.

1. ACCEDERE A IPCop VIA SSH
Per accedere al sistema via SSH (tramite l’utility Putty ad esempio) ricordarsi che IPCop non utilizza la porta standard 22 ma bisogna impostare la porta 222.

2. CONFIGURAZIONE VIA WEB
Tramite browser è possibile accedere alla configurazione del sistema IPCop digitando l’indirizzo https://ip-address:445.

3. ADD-ONS
Utili add-ons per completare il sistema IPCop possono essere i seguenti:

• Copfilter (antivirus, antispam, web filter)
• Advanced proxy (aggiunge autenticazione e altre caratteristiche)
• Zerina (OpenVPN)
• BlockOutTraffic (blocca il traffico che IPCop lascia passare)

4. FORZARE L’UTILIZZO DEL PROXY
Se il browser dei clients (IE, Firefox, Opera) non viene configurato, l’accesso a Internet avviene direttamente senza avvalersi del proxy. Questo può rivelarsi non molto utile per motivi di sicurezza, controllo e utilizzo di banda.
In una rete è opportuno che tutti i clients passino per un proxy impedendo la navigazione a Internet se il browser non viene correttamente impostato (manualmente, via GPO, script, etc…).

- per forzare i clients ad accedere a Internet tramite il proxy, editare il file:

# vi /etc/rc.d/rc.firewall.local

- identificare la voce riportata ed inserire l’istruzione:

## add your ‘start’ rules here
# /sbin/iptables -A CUSTOMFORWARD -i eth0 -o eth1 -p tcp -m mport –dports 80,443 -j DROP

dove:
eth0= GREEN interface
eth1= RED interface

- per caricare la nuova configurazione:

# /etc/rc.d/rc.firewall.local reload

5. ZERINA (OpenVPN)
Se si installa l’add-on per l’utilizzo di OpenVPN e si presenta la necessità di modificare manualmente le impostazioni fatte in automatico, bisogna editare il file di configurazione:

# vi /var/ipcop/ovpn/server.conf

Ricordarsi che se successivamente vengono fatte delle modifiche tramite interfaccia grafiche, le impostazioni manuali vengono perse.

6. RAFFORZARE LA SICUREZZA DEL SISTEMA
Per rafforzare la sicurezza del sistema, si possono adottare alcune soluzioni come già descritte nel precedente articolo “Mettere in sicurezza un sistema Linux“.

Hai già letto questi articoli?

• Evitare lo spamming dalla propria rete
• Accedere alla WebMail (http) attraverso Brightmail
• Configurare il comando yum dietro ad un proxy
• Mettere in sicurezza il logon di Windows 7

Nessun sistema è sicuro al 100%. E’ possibile però utilizzare alcuni accorgimenti per aumentare il livello di sicurezza e rendere più difficoltosi i tentativi di intrusione.

Tra le varie soluzioni possibili, il limitare i diritti di accesso alle varie componenti del sistema rende il fattore sicurezza più elevato:

1. PARTIZIONI
Quando viene effettuata l’installazione di un sistema Linux, per rafforzare la sicurezza e stabilità del sistema è utile stabilire uno schema di partizionamento adeguato.

Alcuni suggerimenti da tenere presente riguardano le principali directory che caratterizzano il “core system” del sistema:

- Tenere le partizioni scrivibili dagli utenti separate dal resto, cioè le directories /home e /var. Queste sono generalmente riempite con i dati degli utenti e dovrebbero essere soggette a “quota” per evitare di mandare in crash il server se il file system venisse saturato.

- Tenere la partizione /boot separata. In caso venisse corrotta è sempre possibile effettuare un fall back per fare almeno il boot del kernel. 100 MB sono OK per questa partizione.

- La partizione /tmp è la più delicata in quanto è scrivibile e accessibile da tutti. Meglio evitare che sia riempita fino a causare il crash del server. 1 GB dovrebbe essere più che sufficiente per /tmp.

2) L’UTENTE DI “ROOT“
Disabilitare il login remoto dell’account root via SSH rende complicati i tentativi di prendere il controllo del sistema operando in remoto.

- editare il file:

# vi /etc/ssh/sshd.conf

- abilitare e modificare le proprietà elencate con questi parametri:

• Protocol 2
• PermitRootLogin no
• PermitEmptyPasswords no

In questo modo l’account root non può effettuare il login tramite una sessione ssh.

3) IL COMANDO “SU”
Limitare l’accesso al comando su solo ad alcuni utenti.

- creare il gruppo admins:

# groupadd admins

- modificare l’ownership:

# chown root.admins /bin/su

- modificare i permessi di accesso:

# chmod 4750 /bin/su

In questo modo solo l’utente root e gli utenti membri del gruppo admins posso accedere al comando su.

4) LA PARTIZIONE “TMP”
Limitare i permessi sulla partizione /tmp.

E’ meglio evitare che degli utenti o potenziali intrusi possano eseguire degli scripts dalla partizione/directory /tmp. Procediamo come segue:

- editare il file /etc/fstab individuando l’entry /tmp che dovrebbe essere configurata come default:

LABEL=/tmp     /tmp     ext3     defaults     1 2

- modificare la riga come segue:

LABEL=/tmp     /tmp     ext3     rw,noexec,nosuid     1 2

Sebbene sia ancora possibile accedere sia in lettura che in scrittura, non è più possibile eseguire applicazioni o scripts ed effettuare il suid bits sui file.

5) FIREWALL
Con gli accorgimenti fino ad ora adottati, il sistema è un po’ più sicuro e più stabile. Naturalmente se il computer è in rete ed è accessibile anche dall’esterno, un buon firewall è fortemente consigliato!

Hai già letto questi articoli?

• Autenticazione tramite Public key in Linux
• KittY un’ alternativa al client PuttY per Windows
• Il servizio di Lotus Domino 8.5.x non si avvia al boot di Windows Server 2008 R2
• Resettare la password di root in mySQL