Hint n. 11 - Password e Token

Anziché utilizzare le password, sempre a rischio di impiego scorretto da parte dell'utenza, è possibile ricorrere ai c.d. Token per aumentare il livello di sicurezza. Si tratta di chiavette hardware che generano una sorta di password usa-e-getta. Scongiurano molti rischi, primo fra tutti quello correlato alla cattivissima abitudine di trascrivere le password in chiaro, in luoghi sempre poco sicuri e, spesso, in bella vista. Maggiori informazioni per l'uso di questa tecnica sono reperibili sul sito http://www.etokenonlinux.org/et.

Hint n. 12 - Forza delle password

Non volendo fare ricorso ai meccanismi indicati nell'Hint 1, almeno cerchiamo di rendere le password il più "forti" possibile. Come? Mai troppo brevi, mai facili da indovinare, mai di durata infinita. Ogni distribuzione Linux ha i suoi mezzi per obbligare l'utenza alle... buone maniere nel trattare le password: ad esempio, SuSE Linux ha in Yast il mezzo per farlo. Cerchiamo di attivare il test per la complessità, impediamo l'uso di password che abbiano meno di 8 caratteri, obblighiamo all'uso di lettere, numeri e segni di interpunzione e, infine, evitiamo che una password resti valida per più di 90 giorni.

Hint n. 13 - Impariamo a usare il VPN

Uno dei metodi più in uso per far funzionare una VPN (Virtual Private Network) è l'uso del protocollo IPSEC. Purtroppo quest'ultimo è difficile da installare e, spesso, anche da far transitare nei firewall. Una buona soluzione consiste nell'impiegare OpenVPN (http://www.openvpn.net) che utilizza la porta 5000 (da abilitarsi, quindi, su tutti i firewall coinvolti) ed è disponibile, oltre che per Linux, anche per Windows. Ciò semplifica al massimo l'interconnessione anche perché le due versioni si configurano esattamente nello stesso modo.

Hint n. 14 - Difesa allo stremo di un server Web

Se non siamo soddisfatti di un normale firewall e di una buona pianificazione del medesimo, possiamo ricorrere all'isolamento totale tramite VNC (Virtual Network Computing). In pratica si tratta di un vero e proprio firewall "grafico", costituito da tre server: un firewall esterno, uno interno e un computer client che spedisce le richieste nell'area protetta tramite VNC. Ogni sistema ha un proprio ambiente di lavoro per utente, con numero di porta personale per ogni utenza dedicato al transito della sessione VNC. Complesso solo apparentemente, il tutto può essere installato su normali PC di potenza di calcolo ordinaria. E' il massimo compromesso protezione/trasparenza prima di arrivare al firewall inespugnabile, che è... il computer spento.

Hint n. 15 - SSL per ogni cosa

Se uno dei servizi di cui eravate utenti (news, posta, ecc.) è stato aggiornato a funzionare solo in SSL e voi non avete un client in grado di adeguarsi, poco male: visitate http://www.stunnel.org e otterrete STunnel. Questo prodotto è in grado di impacchettare sotto Secure Socket Layer qualsiasi altro protocollo e vi risolverà il problema.

Hint n. 16 - Protezione dai Worm adatti a Windows

Se il Direttore Tecnico vi dice di fare il possibile per proteggere i client Windows dai worm, non avete che un modo: utilizzate Nepenthes (http://sourceforge.net/projects/nepenthes). Questo daemon emula sotto Linux operazioni e servizi tipici di un client Windows e, qualora individuasse attività parassite su una delle sue interfacce, ne scarica i binari e li analizza fornendo un rapporto. Potreste usare questo metodo anche per vessare il produttore del vostro antivirus che si ostina a non riconoscere qualcosa che trovare, o per convincere lo stesso Direttore Tecnico a cambiare policy aziendale antivirus.

Hint n. 17 - Avvisi gravi di sistema anche via SMS

Firewall e altri attrezzi che vigilano sull'integrità di sistemi e reti sono sempre in grado di inviare avvisi amministrativi in caso di problemi o compromissioni. Occorre però che, almeno di sera o nei weekend, tali avvisi siano inviati via SMS sul cellulare del sistemista responsabile. Esistono servizi che vendono connettività SMS e che potete facilmente implementare, parallelamente all'invio via e-mail. Tra questi, valutate se qualcuno non fa al caso vostro quanto a prezzo/prestazioni:

• http://www.sms.it

• http://www.smsdriver.it

• http://www.comunified.com

• http://www.mobilant.com

• http://www.mobyt.it

Hint n. 18 - Vigilanza sullo stato dei file

Vi sono molti programmi che lo fanno e possono avvisarvi, conoscendo lo "stato atteso" dei file, di eventuali modifiche non attese. Su Debian può essere usato cruft, molto sofisticato ma efficace. Oppure, Tripwire che è più semplice. E' bene, comunque, specie su macchine critiche, avere qualcosa che controlli continuamente la situazione.

Hint n. 19 - Giocare con le regole del firewall

E' vero che esistono strumenti dotati di interfaccia grafica come fwbuilder, che rendono abbastanza facile e piacevole scrivere le regole per un firewall. In certi casi però, specialmente nel caso in cui qualche impostazione sia sospetta di bloccare (o non bloccare) un servizio su cui vogliamo agire, può essere utile sapere come modificare velocemente a mano le regole. Ad esempio, se vogliamo permettere ad un determinato indirizzo IP (poniamo 192.168.1.100) l'accesso "al volo", per fare prove, basta digitare:

iptables -A INPUT -t filter -a 192.168.1.100 -j ACCEPT

Se vogliamo, invece, ad esempio permettere l'ingresso delle connessioni sulla porta 80 (quella del Web), possiamo digitare:

iptables -A INPUT -t filter -p tcp -dport 80 -j ACCEPT

Eseguite anche una ricerca in Google Linux su IPTables, e troverete molto altro a partire da un HowTo.

Hint n. 20 - Osservatorio sotterraneo

Alcuni lo chiamano honeypot, altri hackquario, ma la sostanza non cambia. Si tratta di un amo con un'esca a tutti gli effetti e serve a far abboccare chi pensa di aver trovato qualcosa di interessante e stia pensando di iniziare azioni di intromissione o forzatura. Scaricatevi il CD avviabile di Honeywall da http://www.honeynet.org/tools/cdrom, procuratevi due vecchi PC con le relative schede di rete e divertitevi: tutti i tentativi di hacking che attraversano Honeywall non verranno bloccati ma semplicemente analizzati e i risultati inviati su una terza interfaccia di rete, che fungerà da "invisibile osservatorio sotterraneo". Studiate le mosse e agite di conseguenza.

E con questo concludiamo (per ora) la seconda e ultima serie di Hints (che vuol dire consigli o suggerimenti, per chi non lo sapesse). Vi suggeriamo di stamparveli e collocarli nella cartella di lavoro: possono servire in qualunque momento.

Condividere questa pagina su: