Auditing dei servizi

Bentornati alla nostra serie dedicata all’implementazione di misure di sicurezza sul proprio server aziendale.

Dopo aver parlato delle misure fondamentali per un corretto setup iniziale, in questa puntata ci dedicheremo a una precauzione da attivare già dal primo riavvio del vostro server e, se possibile, da tenere sotto controllo a intervalli regolari, Infatti, una grande parte del lavoro di sicurezza consiste nell’analisi del sistema operativo del server, per farsi un’idea ben chiara delle superfici di attacco disponibili e poter monitorare il comportamento dei componenti e dei servizi, in modo da essere pronti a bloccare quelli che dovessero manifestare anomalie.

Per fare questo, ci si affida a quello che viene comunemente definito come auditing dei servizi. I servizi sono componenti software che ricevono il diritto di interagire con il sistema operativo del vostro server in tre situazioni:

  • quando il sistema operativo li carica all’avvio
  • quando sono presenti nella vostra infrastruttura di rete
  • quando un software installato li carica come dipendenza

5-service-audit

L’auditing dei servizi permette di tenere sotto controllo quali software girano in background sul vostro server, su quale porta ascoltano e che protocolli implementano, in modo da poter configurare le inpostazioni del vostro firewall per bloccare quelli sospetti e lasciare funzionare quelli legittimi.

Il rischio legato ai servizi, infatti, consiste nel fatto che questi sono software in grado di far accedere agenti esterni all’interno del vostro server: ognuno di essi deve essere considerato come una potenziale superficie d’attacco per un hacker. Una volta che vi siete fatti un’idea precisa dei servizi che girano sul vostro server, potete esaminarli seguendo questa check-list per decidere se abbiano o meno dirittto di continuare a consumare risorse:

  • Questo servizio dovrebbe essere attivo?
  • Questo servizio è collegato a più interfacce di quante siano necessarie?
  • Questo servizio dovrebbe accettare chiamate solo da una lista di indirizzi ip ben dfiniti?
  • Le regole del firewall sono strutturate in modo da permettere che il traffico legittimo arrivi a questo servizio?
  • Le regole del firewall bloccano il traffico non legittimo?
  • Ho un metodo per ricevere delle notifiche su eventuali vulnerabilità di questo servizio?

Implementare un auduting dei servizi non è complicato: usando il comando netstat posso vedere un elenco di tutti i servizi e delle porte su cui stanno ascoltando, compreso il loro PID e altre statistiche imporanti, come il protocollo utilizzato.

#securitytime17

Traduzione italiana dell’articolo “7 security measures to protect your servers” di Justin Ellingwood, per gentile concessione di DigitalOcean Inc.

(c) 2017 DigitalOcean Inc.