Auditing dei servizi

Bentornati alla nostra serie dedicata all’implementazione di misure di sicurezza sul proprio server aziendale.

Dopo aver parlato delle misure fondamentali per un corretto setup iniziale, in questa puntata ci dedicheremo a una precauzione da attivare già dal primo riavvio del vostro server e, se possibile, da tenere sotto controllo a intervalli regolari, Infatti, una grande parte del lavoro di sicurezza consiste nell’analisi del sistema operativo del server, per farsi un’idea ben chiara delle superfici di attacco disponibili e poter monitorare il comportamento dei componenti e dei servizi, in modo da essere pronti a bloccare quelli che dovessero manifestare anomalie.

Per fare questo, ci si affida a quello che viene comunemente definito come auditing dei servizi. I servizi sono componenti software che ricevono il diritto di interagire con il sistema operativo del vostro server in tre situazioni:

  • quando il sistema operativo li carica all’avvio
  • quando sono presenti nella vostra infrastruttura di rete
  • quando un software installato li carica come dipendenza

5-service-audit

L’auditing dei servizi permette di tenere sotto controllo quali software girano in background sul vostro server, su quale porta ascoltano e che protocolli implementano, in modo da poter configurare le inpostazioni del vostro firewall per bloccare quelli sospetti e lasciare funzionare quelli legittimi.

Il rischio legato ai servizi, infatti, consiste nel fatto che questi sono software in grado di far accedere agenti esterni all’interno del vostro server: ognuno di essi deve essere considerato come una potenziale superficie d’attacco per un hacker. Una volta che vi siete fatti un’idea precisa dei servizi che girano sul vostro server, potete esaminarli seguendo questa check-list per decidere se abbiano o meno dirittto di continuare a consumare risorse:

  • Questo servizio dovrebbe essere attivo?
  • Questo servizio è collegato a più interfacce di quante siano necessarie?
  • Questo servizio dovrebbe accettare chiamate solo da una lista di indirizzi ip ben dfiniti?
  • Le regole del firewall sono strutturate in modo da permettere che il traffico legittimo arrivi a questo servizio?
  • Le regole del firewall bloccano il traffico non legittimo?
  • Ho un metodo per ricevere delle notifiche su eventuali vulnerabilità di questo servizio?

Implementare un auduting dei servizi non è complicato: usando il comando netstat posso vedere un elenco di tutti i servizi e delle porte su cui stanno ascoltando, compreso il loro PID e altre statistiche imporanti, come il protocollo utilizzato.

#securitytime17

Traduzione italiana dell’articolo “7 security measures to protect your servers” di Justin Ellingwood, per gentile concessione di DigitalOcean Inc.

(c) 2017 DigitalOcean Inc.

Crittografia SSL e TSL

L’infrastruttura di chiave pubblica, o PKI (Public Key Infrastructure), si riferisce ad un sistema progettato per creare, gestire e convalidare i certificati per identificare gli utenti degli endpoint e criptare la comunicazione. I certificati SSL o TLS possono essere utilizzati per autenticare entità diverse tra loro. Dopo l’autenticazione, possono essere utilizzati anche per la comunicazione criptata.

4-ssl-tls

La creazione di un’autorità di certificazione e la gestione dei certificati per i tuoi server consente a ciascun entità dell’infrastruttura di convalidare l’identità degli altri membri e crittografare il loro traffico. Ciò aiuta a prevenire i cosidetti attacchi man in the middle, cioè quando un aggressore si presenta alle altre macchine della tua infrastruttura fingendo di essere un server appartenente alla tua rete per intercettarne il traffico.

Ogni server può essere configurato per fidarsi di un’autorità di certificazione centralizzata.

Successivamente, qualunque certificato firmato da quell’autorità può essere implicitamente considerato attendibile. Se le applicazioni ed i protocolli utilizzati per comunicare supportano la crittografia TLS o SSL, questo diventa un modo per crittografare tutto il sistema senza il sovraccarico di un tunnel VPN che, in alucni casi, ad esempio quando si utilizzi un gestionale un po’ datato, può causare una degradazione di performances.

La configurazione di un’autorità di certificazione e l’impostazione del resto dell’infrastruttura della chiave pubblica possono comportare un certo lavoro di setup iniziale. Inoltre, la gestione dei certificati può creare un ulteriore carico di amministrazione quando nuovi certificati devono essere creati, firmati o revocati.

Ecco perchè, in caso di infrastrutture di dimensioni medio-grandi, è consigliabile rivolgersi a un professionista dell’integrazione IT. Se sei interessato a una delle soluzioni per la sicurezza IT finora discusse, puoi contattrci senza impegno attraverso la nostra pagina contatti.

#securitytime17

Traduzione italiana dell’articolo “7 security measures to protect your servers” di Justin Ellingwood,

per gentile concessione di DigitalOcean Inc.

(c) 2017 DigitalOcean Inc.