Linux : sicurezza informatica

La sicurezza informatica non è un prodotto che si può comprare in “scatola” ma è piuttosto un processo continuo e articolato.

La colonna portante di questo processo è la conoscenza. Non si può infatti pensare seriamente di gestire la sicurezza di un complesso informatico, sia esso un singolo server che una farm, se non si conoscono i principi fondamentali sui cui si fondano i sistemi operativi e le comunicazioni in rete. Bisogna quindi studiare la struttura del proprio sistema operativo e la teoria delle reti, con particolare attenzione alla gerarchia ISO OSI. Si deve poi inquadrare il TCP/IP entro il modello OSI e capire come è stato implementato all’interno del sistema operativo in uso. In Rete ci sono, a questo proposito, molti ottimi libri e tanta documentazione tecnica di qualità. L’acquisizione delle nozioni è a sua volta un processo continuo. Lo studio deve infatti protrarsi per tutto l’arco della propria carriera tecnica, secondo il principio che in informatica si impara qualcosa ogni giorno ma non si impara mai a sufficienza. La conoscenza teorica diventa in questo contesto uno strumento per valutare l’affidabilità delle configurazioni presenti presso i propri sistemi. Si possono infatti avere sistemi di qualità, costantemente aggiornati, ma configurati in maniera poco attenta. Spesso inoltre si compiono in buona fede errori o sviste che possono rivelarsi fatali.

Per mitigare queste situazioni esistono strumenti di monitoraggio e controllo delle reti e dei sistemi. Attraverso questi sistemi si possono eseguire scansioni o analisi passive per meglio valutare lo stato dei server in propria gestione. Vedremo  di seguito alcuni strumenti di grande fama, utilizzati dai professionisti dell’informatica, tutti multipiattaforma: NMAP , NESSUS, wireshark.

NMAP

E’ uno degli strumenti più accreditati per l’analisi della la sicurezza dei sistemi (http://nmap.org). E un network scanner aperto, scritto originariamente da Gordon Lyon. Il suo scopo è eseguire una scansione di una sottorete o di un singolo sistema ed elencare i servizi accessibili dall’esterno su tale sistema. 

Lo strumento non si limita quindi a verificare le porte aperte o chiuse presso i sistemi rilevati, ma applica piuttosto dei meccanismi di analisi per dedurre il tipo di sistema installato e per scoprire se vi sono servizi attivi che non divulgano la propria presenza. Per realizzare questo scopo vengono esaminati parecchi dettagli che gli standard tecnici (RFC) lasciano a discrezione dell’implementazione. 

Utilizzando Nmap verso i propri sistemi è possibile verificare la quantità di informazioni che vengono divulgate al mondo esterno e si possono così prendere appositi provvedimenti. Nmap dovrebbe essere utilizzato solo per sondare sistemi sotto la propria gestione. L’utilizzo dello strumento verso altri siti potrebbe costituire una violazione penalmente perseguibile.

Vediamo alcune applicazioni:

nmap -O -v <indirizzoip>   il parametro -O identifica il S.O. utilizzato -v attiva l’output “verbose”. 

Il risultato è sconvolgente

nmap -sV -v <indirizzoip>   il parametro -sV esegue una scansione delle porte aperte per identificarne il servizio presente

nmap -sS -v <indirizzoip>   il parametro -sS esegue una scansione tcp e ritorna le porte aperte con questo protocollo

nmap -sU -v <indirizzoip>   il parametro -sU esegue una scansione UTP e ritorna le porte aperte con questo protocollo

nmap -sS -sU -v 192.168.1.1-254   in questo caso si esegue la scansione di tutta la sottorete 192.168.1.x

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *