GFI LANguard Network Security Scanner 5. Manuale. GFI Software Ltd.

Transcript

1 GFI LANguard Network Security Scanner 5 Manuale GFI Software Ltd.

2 GFI SOFTWARE Ltd. Le informazioni contenute in questo documento sono soggette a modifica senza preavviso. Le società, i nomi e i dati utilizzati negli esempi sono fittizi se non indicato diversamente. Nessuna parte del presente documento può essere riprodotta o trasmessa in qualsiasi forma o tramite qualsiasi mezzo, elettronico o meccanico, per qualsiasi scopo, senza il permesso esplicito e scritto di GFI SOFTWARE Ltd. LANguard è copyright di GFI SOFTWARE Ltd GFI SOFTWARE Ltd. Tutti i diritti riservati. Versione 5.0 Ultimo aggiornamento 12 gennaio 2004

3 Indice Introduzione 5 Introduzione a GFI LANguard Network Security Scanner... 5 Importanza della sicurezza della rete interna... 5 Caratteristiche principali... 6 Elementi di GFI LANguard N.S.S... 7 Schema di Licenza... 7 Installazione di GFI LANguard Network Security Scanner 9 Requisiti di Sistema... 9 Procedura d installazione... 9 Inserimento del Codice seriale dopo l installazione Guida introduttiva: esecuzione di un controllo 13 Introduzione alle verifiche di sicurezza Esecuzione di una scansione Analisi dei risultati di scansione IP, nome della macchina, sistema operativo e livello del service pack...15 Nodo delle vulnerabilità...15 Il nodo delle vulnerabilità potenziali...16 Condivisioni...17 Politica delle password...18 Registro di configurazione del sistema (Registry)...18 Politica di controllo della sicurezza...18 Porte aperte...19 Utenti e Gruppi...20 Servizi...20 Stato delle patch di hotfix del sistema...21 Risultati supplementari Computer...21 Esecuzione di scansioni In sede (On site) o Fuori sede (Off site) Scansione In sede (On site)...22 Scansione Fuori sede (Off Site)...22 Confronto fra scansioni on site e off site...22 Risultati della scansione filtrata 25 Introduzione Selezione del file source dei risultati della scansione Creazione di un filtro di scansione personalizzato Configurazione di GFI LANguard N.S.S. 29 Introduzione alla configurazione di GFI LANguard N.S.S Profili di scansione Porte TCP/UDP sottoposte a scansione Come aggiungere/modificare/eliminare delle porte...30 Dati del sistema operativo sottoposto a scansione Vulnerabilità sottoposte a scansione Manuale di GFI LANguard N.S.S. Indice i

4 Tipi di vulnerabilità...32 Scaricamento delle vulnerabilità della sicurezza più recenti...33 Patch sottoposte a scansione Opzioni dello scanner Metodi di scoperta sulla rete...35 Scansioni programmate File dei parametri Utilizzazione di GFI LANguard N.S.S. dalla riga per i comandi Impiego di patch 43 Introduzione alla messa in funzione di patch L agente per la messa in funzione delle patch...43 Fase 1: effettuare una scansione della rete Fase 2: selezionare su quali macchine mettere in funzione le patch Fase 3: selezionare quali patch mettere in funzione Fase 4: scaricare i file delle patch e dei service pack Scaricamento delle patch...46 Fase 5: correggere i parametri d impiego del file Fase 6: utilizzare gli aggiornamenti Impiego di software personalizzato Fase 1: selezionare le macchine su cui installare il software o le patch...50 Fase 2: specificare il software da impiegare...50 Fase 3: avviare il processo d impiego...51 Opzioni d impiego Confronto tra risultati 53 Perchè paragonare i risultati? Esecuzione di un confronto tra risultati in modo interattivo Esecuzione di un confronto tramite l opzione delle scansioni programmate Strumenti 55 Introduzione Ricerca DNS Trace Route (Traccia del percorso) Whois Client (Chi è il client) SNMP Walk SNMP Audit (Controllo SNMP) MS SQL Server Audit (Controllo di MS SQL Server) Enumerate Computers (Conteggio dei computer) Lancio di una scansione per la sicurezza...59 Impiego di patch personalizzate...59 Abilitazione di politiche di controllo...60 Conteggio di utenti Aggiunta di controlli di vulnerabilità tramite condizioni o script 61 Introduzione Linguaggio VBscript di GFI LANguard N.S.S Aggiunta di un controllo di vulnerabilità che utilizza uno script personalizzato Fase 1: creazione dello script...61 Fase 2: aggiunta del nuovo controllo di vulnerabilità:...62 Aggiunta di un controllo CGI Aggiunta di altri controlli di vulnerabilità Risoluzione dei problemi 69 Indice ii Manuale di GFI LANguard N.S.S.

5 Introduzione Knowledgebase Richiesta di assistenza tramite Richiesta di supporto tramite web-chat Richiesta di supporto telefonico Forum via Web Notifiche di aggiornamento delle versioni Indice analitico 71 Manuale di GFI LANguard N.S.S. Indice iii

6

7 Introduzione Introduzione a GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) è uno strumento che permette agli amministratori di rete di effettuare un controllo di sicurezza della rete rapidamente e con facilità. GFI LANguard N.S.S. crea rapporti che possono essere utilizzati per risolvere i problemi della sicurezza di una rete. È anche in grado di eseguire la gestione delle patch. A differenza di altri scanner per la sicurezza, GFI LANguard N.S.S. non crea una raffica di informazioni, virtualmente impossibile da seguire. Piuttosto, aiuta a mettere in rilievo le informazioni più importanti. Fornisce inoltre collegamenti ipertestuali a siti sicuri per saperne di più su queste vulnerabilità. Utilizzando la scansione intelligente, GFI LANguard N.S.S. raccoglie informazioni sulle macchine, quali nomi utente e gruppi, che possono contenere oggetti pericolosi che consentano l accesso a back door (porte di servizio), condivisioni di reti e oggetti simili trovati su un Dominio di Windows. A parte questo, GFI LANguard N.S.S. identifica anche vulnerabilità specifiche, come, problemi di configurazione in server FTP, exploit in Microsoft IIS e Apache Web Server ovvero problemi di configurazione della politica di sicurezza in NT, oltre a molti altri possibili problemi di sicurezza. Importanza della sicurezza della rete interna La sicurezza della rete interna è, molto frequentemente, sottostimata dai suoi amministratori. Molto spesso, questa sicurezza non esiste nemmeno e consente ad un utente di accedere facilmente alla macchina di un altro utente, utilizzando exploit ben noti, relazioni di fiducia e impostazioni predefinite. La maggior parte di questi attacchi non richiede particolari abilità, ma mette a repentaglio l integrità della rete. Gran parte dei dipendenti non ha bisogno di accedere né dovrebbe avere accesso alle macchine altrui, a funzioni amministrative, dispositivi di rete e così via. Tuttavia, a causa della flessibilità richiesta per la normale gestione, le reti interne non possono permettersi una sicurezza massima. D altro canto, senza alcuna sicurezza, gli utenti interni possono costituire una grave minaccia per molte reti aziendali interne. All'interno dell'azienda, un utente ha già accesso a molte risorse interne e non ha bisogno di superare firewall o altri meccanismi di sicurezza che impediscono a fonti non fidate, come gli utenti di Internet, di accedere alla rete interna. Tali utenti interni, dotati di Manuale di GFI LANguard N.S.S. Introduzione 5

8 capacità da hacker, possono penetrare ed ottenere diritti remoti di amministrazione di reti, garantendosi, allo stesso modo, che il loro abuso risulti difficile da identificare o persino da scoprire. L 80% degli attacchi di reti, infatti, ha origine all interno del firewall (ComputerWorld, gennaio 2002). Una sicurezza della rete scarsa comporta inoltre che, se un hacker esterno riesce a penetrare nel computer della vostra rete, può accedere più facilmente al resto della rete interna. Ciò consentirebbe ad un attacker di leggere e probabilmente divulgare confidenziali e documenti, cestinare computer, comportando la perdita di informazioni e molto altro. Per non parlare, poi, dell utilizzo della rete e delle risorse di rete per cominciare ad attaccare altri siti, il che, una volta scoperto, farà risalire a voi e alla vostra azienda, non all hacker. La maggioranza degli attacchi, contro exploit conosciuti, potrebbe essere riparata facilmente e quindi arrestata dagli amministratori se fossero, innanzi tutto, a conoscenza della vulnerabilità. La funzione di GFI LANguard N.S.S. è di assistere gli amministratori nell identificazione di tali vulnerabilità. Caratteristiche principali Scopre servizi pericolosied apre porte TCP e UDP. Individua CGI, DNS, FTP, Posta, RPC e altre vulnerabilità conosciute Individua il file Rogue oppure utenti back door Individua condivisioni Aperte Enumerazione di utenti, servizi, ecc. Può effettuare Scansioni Programmate Aggiorna automaticamente i controlli di vulnerabilità della Sicurezza Capacità di individuare hotfix e service pack mancanti nel sistema operative. Capacità di individuare hotfix e service pack mancanti nelle applicazioni supportate. Capacità di effettuare confronti tra scansioni, di apprendere nuovi possibili punti di entrata Capacità di correggere il sistema operativo (sistemi Windows in lingua inglese) e applicazioni di Office (in inglese, francese, tedesco, italiano, spagnolo) Identificazione del sistema operativo.individuazione del live host Uscite HTML, XSL e XML Controllo di SNMPe MS SQL Compatibile con il linguaggio di scritp VBscript per realizzare controlli di vulnerabilità personalizzati 6 Introduzione Manuale di GFI LANguard N.S.S.

9 Elementi di GFI LANguard N.S.S. Schema di Licenza GFI LANguard N.S.S. è basato su un'architettura di tipo aziendale ed è composto dei seguenti elementi GFI LANguard Network Security Scanner Si tratta dell interfaccia principale del prodotto. Utilizzare quest applicazione per visualizzare i risultati della scansione in tempo reale, configurando le opzioni e i profili di scansione, i rapporti dei filtri, l utilizzo di strumenti amministrativi specializzati della sicurezza e molto altro. Servizio di ricezione di GFI LANguard N.S.S. Questo servizio esegue scansioni programmate della rete e impieghi programmati delle patch. Funziona in background. Servizio di agente delle patch di GFI LANguard N.S.S. Questo servizio è messo in funzione sulle macchine target sulle quali deve utilizzata una patch, un service pack o un programma e si occupa dell effettiva installazione della patch, del service pack e del programma. GFI LANguard N.S.S. Script Debugger Utilizzare questo modulo per scrivere/correggere script personali creati. Lo schema di licenza di GFI LANguard N.S.S. funziona in base al numero di macchine e dispositivi che si desidera sottoporre a scansione. Ad esempio, la licenza 100 IP consente di effettuare la scansione di fino a 100 macchine o dispositivi da una singola stazione di lavoro o server della vostra rete. Manuale di GFI LANguard N.S.S. Introduzione 7

10

11 Installazione di GFI LANguard Network Security Scanner Requisiti di Sistema L installazione di GFI LANguard Network Security Scanner necessita dei seguenti requisiti: Windows 2000/2003 o Windows XP Internet Explorer 5.1 o superiore. Deve essere installato Microsoft Networks Durante le scansioni, non possono essere eseguiti software per firewall personali oppure Windows XP Internet Connection Firewall. Possono bloccare la funzionalità di GFI LANguard N.S.S. La messa in funzione di patch su macchine remote richiede che si disponga di privilegi da amministratore Procedura d installazione 1. Eseguire il programma d installazione di LANguard Network Security Scanner facendo doppio clic sul file lannetscan.exe. Confermare che si desidera installare GFI LANguard N.S.S. Viene quindi avviato il wizard dell installazione. Fare clic su Next (Avanti). 2. Dopo aver letto il Contratto di licenza nella finestra di dialogo, fare clic su Yes (Sì), per accettare le condizioni contrattuali e proseguire con l installazione. 3. La procedura d installazione richiede le informazioni sull utente e il codice seriale. Manuale di GFI LANguard N.S.S. Installazione di GFI LANguard Network Security Scanner 9

12 Specificazione delle credenziali dell amministratore del dominio o utilizzare un account di sistema locale 4. La procedura d'installazione richiede le credenziali dell amministratore del dominio che saranno utilizzate dal servizio di ricezione di LANguard N.S.S (LANguard N.S.S Attendant), esecutore delle scansioni programmate. Immettere le credenziali richieste e fare clic su 'Next (Avanti). Scelta del terminale database 5. La procedura d installazione richiede di scegliere il terminale database per il database di GFI LANguard N.S.S. Scegliere tra Microsoft Access o Microsoft SQL Server\MSDE e fare clic su Next (Avanti). 10 Installazione di GFI LANguard Network Security Scanner Manuale di GFI LANguard N.S.S.

13 NOTA: SQL Server/MSDE deve essere installato in modalità mista o di autenticazione del server SQL. Non è supportata la sola modalità di autenticazione NT. 6. Se si seleziona Microsoft SQL Server/MSDE come terminale database, verranno richieste le credenziali SQL da utilizzare per accedere al database. Fare clic su Next (Avanti) per continuare. 7. La procedura d installazione richiede l indirizzo di un amministratore ed il nome del server di posta. Tali impostazioni verranno utilizzate per inviare messaggi amministrativi di allerta. 8. Scegliere il luogo di destinazione GFI LANguard N.S.S. e fare clic su Next (Avanti). GFI LANguard N.S.S. richiede circa 40 MB di spazio libero sul disco fisso. 9. Dopo che GFI LANguard N.S.S. è stato installato, è possibile eseguire GFI LANguard Network Security Scanner dal menu di avvio. Inserimento del Codice seriale dopo l installazione Se è stato acquistato GFI LANguard N.S.S., è possibile inserire il Codice seriale nel nodo General > Licensing (Generale > Licenza). Se si sta valutando GFI LANguard N.S.S., il periodo di valutazione ha una durata di 60 giorni (con il codice di valutazione). Se si decide poi di acquistare GFI LANguard N.S.S., inserire il Codice seriale in questo punto, senza reinstallare il prodotto. Si deve ottenere un numero di licenze di GFI LANguard N.S.S. pari al numero di macchine che si desidera sottoporre a scansione e al numero di macchine sullle quali si desidera eseguirlo. Se ci sono 3 amministratori che utilizzano GFI LANguard N.S.S., allora si dovranno acquistare 3 licenze. L inserimento del Codice seriale non va confuso con la procedura di registrazione dei dati dell azienda sul nostro sito Web. Questa seconda fase è molto importante in quanto ci consente di fornire il supporto e comunicare notizie importanti relative al prodotto. Registratevi alla pagina: Nota: per scoprire come acquistare GFI LANguard N.S.S., seguire il nodo General > How to purchase (Generale > Come acquistare). Manuale di GFI LANguard N.S.S. Installazione di GFI LANguard Network Security Scanner 11

14

15 Guida introduttiva: esecuzione di un controllo Introduzione alle verifiche di sicurezza Il controllo delle risorse di rete consente all'amministratore di identificare eventuali rischi all'interno della rete. Un controllo manuale richiederebbe molto tempo, a causa dei task e delle procedure ripetitivi da effettuare su ogni macchina della rete. GFI LANguard N.S.S. rende automatico il processo di controllo della sicurezza e identifica facilmente vulnerabilità comuni nell ambito della rete in tempi brevi. Nota: se la vostra azienda utilizza un qualunque tipo di software per la scoperta di intrusioni (Intrusion Detection Software IDS), sappiate che l utilizzo di LANguard Network Security Scanner attiverà quasi tutti i campanelli e i fischietti in esso contenuti. Se non si è responsabili del sistema IDS, assicurarsi di informare l amministratore di quel campo o di quei campi della scansione che si sta per effettuare. Oltre all'avvertenza relativa al software IDS, si tenga presente che saranno rivelate molte scansioni negli archivi storici (log file) per tutte le categorie. I log Unix, i server web, ecc. mostreranno il tentativo messo in atto dalla macchina che esegue LANguard Network Security Scanner. Se non si è l unico amministratore presso la propria sede, assicurarsi che gli altri amministratori siano informati delle scansioni che si stanno per effettuare. Esecuzione di una scansione Il primo passo da compiere, quando si comincia un controllo della rete, consiste nell effettuare una scansione delle macchine e dei dispositivi di rete correnti. Per iniziare una nuova scansione della rete, procedere come segue: 1. Fare clic su File > New (File > Nome) 2. Selezionare l oggetto della scansione. Si può scegliere fra le seguenti opzioni: a. Scan one Computer (Esegui la scansione di un computer) Esegue la scansione di una singola macchina. b. Scan Range of Computers (Esegui la scansione di una serie di computer) - Esegue la scansione di una serie di IP specificata. c. Scan List of Computers (Esegui la scansione di un elenco di computer) Esegue la scansione di un elenco di computer personalizzato. È possibile aggiungere computer Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo 13

16 all elenco selezionandoli da un elenco di computer enumerativi, immettendoli uno per uno oppure importando l elenco da un file di testo. d. Scan a Domain (Esegui la scansione di un dominio) Esegue la scansione di un intero dominio di Windows. 3. Imputare l intervallo d'inizio e fine della rete di cui effettuare la scansione, in base a ciò che si intende sottoporre a scansione. 4. selezionare Start Scan (Avvia scansione) Esecuzione di una scansione LANguard Network Security Scanner effettua ora una scansione. Innanzi tutto, individua quali host/computer sono accesi ed effettua la scansione solo di questi. Ciò avviene utilizzando prove NETBIOS, interrogativi ping ICMP e SNMP Se un dispositivo non risponde ad una sua richiesta, GFI LANguard N.S.S. presume, per il momento, che il dispositivo non esiste a tale indirizzo IP specifico ovvero che sia spento. Nota: se si intende forzare una scansione su IMPS che non rispondono, consultare il capitolo Configurazione delle opzioni di scansione per informazioni relative a tale configurazione. 14 Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S.

17 Analisi dei risultati di scansione Analisi dei risultati Dopo la scansione, risultano visualizzati dei nodi sotto ciascuna macchina trovata da GFI LANguard N.S.S. Il pannello di sinistra elenca tutte le macchine e i dispositivi di rete. L espansione di una voce dell elenco, espone una serie di nodi con le informazioni trovate su tale macchina o dispositivo di rete. Facendo clic su un dato nodo, nel pannello di destra vengono visualizzate le informazioni sottoposte a scansione. Quando GFI LANguard N.S.S. esegue una prova di rete, troverà tutti i dispositivi di rete accesi in quel momento. Secondo il tipo di dispositivo e di interrogativi cui questo ha risposto, viene determinato il modo in cui GFI LANguard N.S.S. lo identifica e quali informazioni è in grado di acquisire. Una volta che GFI LANguard N.S.S. ha terminato la scansione della macchina/dispositivo/rete, visualizza le seguenti informazioni: IP, nome della macchina, sistema operativo e livello del service pack Viene mostrato l indirizzo IP della macchina/dispositivo. Viene poi mostrato il nome del DNS NetBIOS, secondo il tipo di dispositivo. GFI LANguard N.S.S. indica quale sistema operativo è in esecuzione sul dispositivo e, se si tratta di Windows NT/2000/XP/2003, indica il livello di service pack. Nodo delle vulnerabilità Il nodo delle vulnerabilità visualizza problemi di sicurezza individuati e suggerisce la maniera per risolverli. Queste minacce possono comprendere patch e service pack mancanti, problemi di HTTP, messaggi di allerta di NETBIOS, problemi di configurazione e così via. Le vulnerabilità si suddividono nelle seguenti sezioni: service pack mancanti, patch mancanti, vulnerabilità della sicurezza elevate, Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo 15

18 vulnerabilità della sicurezza medie e vulnerabilità della sicurezza basse. Sotto ciascuna sezione delle vulnerabilità della sicurezza Elevate/Medie/Basse, si trovano ulteriori categorie dei problemi individuati, con i seguenti raggruppamenti: abusi CGI, vulnerabilità FTP, vulnerabilità DNS, vulnerabilità della posta, vulnerabilità RPC, vulnerabilità di servizio, vulnerabilità del Registro di configurazione del sistema (Registry) e vulnerabilità varie. Patch mancanti - GFI LANguard N.S.S. ricerca eventuali patch mancanti confrontando le patch installate con le patch disponibili di un determinato prodotto. Se sulla macchina mancano eventuali patch, si dovrebbe visualizzare una schermata simile alla seguente: Innanzi tutto, informa per quale prodotto è la patch. Se si espande il nodo, si potrà visualizzare la patch specifica mancante e un collegamento al sito da cui scaricare quella particolare patch. Abusi CGI descrivono problemi relativi a server Apache, Netscape, IIS e altri server web. Le vulnerablità FTP, DNS, di posta, RPC e varie forniscono collegamenti a Bugtrag ed altri siti per la sicurezza, in modo che sia possibile cercare ulteriori informazioni sul problema scoperto da GFI LANguard N.S.S. Le vulnerabilità di servizio possono essere molte cose. Qualsiasi cosa, dai servizi effettivi in esecuzione sul dispositivo in questione agli account elencati su una macchina che non sia mai stata usata. Le vulnerabilità del Registro di configurazione del sistema (Registry) coprono informazioni tratte da una macchina Windows quando GFI LANguard N.S.S. effettua la scansione iniziale. Forniscono un collegamento al sito di Microsoft o ad altri siti dedicati alla sicurezza, che spiegano perché tali impostazioni del registro di configurazione del sistema (Registry) devono essere modificate. Le vulnerabilità d informazione sono messaggi di allerta aggiunti al database, che costituiscono problemi abbastanza importanti da sottoporre all'attenzione degli amministratori, ma che non sempre sono dannosi se vengono lasciati aperti. Il nodo delle vulnerabilità potenziali Il nodo delle vulnerabilità potenziali visualizza problemi di sicurezza possibili, informazioni cruciali ed anche alcuni controlli che non possono essere eseguiti. Ad esempio, se non è possibile determinare se una particolare patch sia installata, questa sarà elencata nel nodo delle Patch non individuabili. Tali vulnerabilità potenziali devono essere riviste dall amministratore. 16 Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S.

19 Il nodo delle vulnerabilità potenziali Condivisioni Il nodo delle condivisioni elenca tutte le condivisioni presenti su una macchina e chi ha accesso ad una condivisione. Tutte le condivisioni di rete devono essere protette in maniera opportuna. Gli amministratori devono accertarsi che: 1. Nessun utente condivida il proprio drive con altri utenti. 2. Non è consentito l accesso anonimo o non autenticato alle condivisioni. 3. Le cartelle di avvio o i file di sistema simili non sono condivise. Questo può consentire ad un numero inferiore di utenti privilegiati di eseguire codici sulle macchine target. Quanto sopra è molto importante per tutte le macchine, ma, in particolare, per macchine che sono cruciali per l integrità del sistema, quali il Public Domain Controller (PDC -Controllore del Dominio Pubblico). Si immagini un amministratore che condivida la cartella di avvio (o una cartella contenente la cartella di avvio) sul PDC con tutti gli utenti. In possesso delle giuste autorizzazioni, gli utenti potrebbero copiare facilmente degli eseguibili nella cartella di avvio, che verrebbero eseguiti al successivo accesso interattivo dell amministratore. Nota: se si effettua la scansione avendo avuto accesso come amministratore, si potranno visualizzare le condivisioni amministrative, ad esempio, C$ - default share. Tali condivisioni non saranno disponibili per i normali utenti. Considerando il modo in cui Klez ed altri nuovi virus cominciano a propagarsi, cioé tramite l utilizzo di condivisioni aperte, tutte le condivisioni non necessarie dovrebbero essere disattivate, mentre tutte le condivisioni necessarie dovrebbero prevedere una password. Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo 17

20 Politica delle password Questo nodo consente di controllare se la politica delle password è sicura. Ad esempio, abilita un età massima per la password e per la cronologia della password. La lunghezza minima della password deve essere pratica, tipo 8 caratteri. Se si è dotati di Windows 2000, è possibile abilitare una politica delle password protetta, su tutta la rete, utilizzando degli GPO (Group Policy Objects) (Oggetti Criteri di Gruppo) di Active Directory. Registro di configurazione del sistema (Registry) Questo nodo fornisce informazioni fondamentali sul registro di configurazione del sistema (Registry) remoto. Fare clic sul nodo Run (Esegui) per controllare quali programmi sono lanciati automaticamente all Avvio. Controlla che i programmi lanciati automaticamente non siano Trojan o addirittura programmi validi che forniscano l accesso remoto ad una macchina, qualora tale software non sia consentito sulla vostra rete. Qualunque tipo di software per Accesso Remoto può rivelarsi una back door, che un hacker potenziale può usare per guadagnare l accesso. Politica di controllo della sicurezza Questo nodo mostra quali politiche di controllo della sicurezza sono attivate sulla macchina remota. Si raccomanda l utilizzo delle seguenti politiche di controllo: Politica di controllo Esito positivo Esito negativo Eventi di accesso all account Sì Sì Gestione dell account Sì Sì Accesso al servizio di Directory Sì Sì Eventi di accesso Sì Sì Accesso all oggetto Sì Sì Modifica della politica Sì Sì Utilizzo di privilegi No No Tracciabilità del processo No No Eventi di sistema Sì Sì È possibile abilitare il controllo direttamente da GFI LANguard N.S.S. Fare clic con il tasto destro del mouse su uno dei computer del pannello di sinistra e selezionare Enable auditing (Abilita il controllo). Verrà visualizzato il wizard di amministrazione della politica di controllo. Specificare le politiche di controllo da attivare. Esistono 7 politiche di controllo della sicurezza in Windows NT e 9 in Windows Abilitare le politiche di controllo desiderate sui computer da monitorare. Fare clic su Next (Avanti) per attivare le politiche di controllo. 18 Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S.

21 Abilitazione delle politiche di controllo su macchine remote. Se non si riscontrano errori, viene visualizzata la pagina Finish (Fine). Se si verifica un errore, allora viene visualizzata un altra pagina che indica su quali computer l applicazione delle politiche ha avuto esito negativo. Finestra di dialogo dei risultati del wizard della politica di controllo Porte aperte Il nodo delle porte aperte elenca tutte le porte aperte trovate sulla macchina. (Si chiama scansione delle porte). GFI LANguard N.S.S. effettua una scansione selettiva delle porte, cioè non effettua per Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo 19

22 default la scansione di tutte le porte TCP e di tutte le porte UDP, ma solo le porte per le quali è stato configurato. È possibile configurare le porte che Per ulteriori informazioni, consultare il capitolo Configurazione delle opzioni di scansione, configurazione delle porte da sottoporre a scansione. Ogni porta aperta rappresenta un servizio o un applicazione; se uno di questi servizi può essere sfruttato, l hacker è in grado di guadagnare l accesso a quella macchina. Pertanto, è importante chiudere eventuali porte non necessarie. Nota: sulle reti Windows, le porte 135, 139 e 445 sono sempre aperte. GFI LANguard N.S.S. mostra queste porte come aperte e, se la porta è considerata una porta Trojan conosciuta, GFI LANguard N.S.S. la visualizzerà in ROSSO, altrimenti in VERDE. La seguente schermata consente di vedere quanto sopra descritto: Nota: anche se una porta è visualizzata in ROSSO come una possibile porta Trojan, questo non significa che un programma back door sia in effetti installato sulla macchina. Alcuni programmi validi usano le stesse porte di alcuni Trojan conosciuti. Un programma antivirus utilizza la stessa porta conosciuta del virus NetBus Backdoor. Pertanto, si prega di verificare sempre le informazioni del banner fornite e di eseguire controlli su tali macchine. Utenti e Gruppi Questi nodi mostrano i gruppi e gli utenti locali disponibili sul computer. Controllano la presenza di ulteriori utenti e verificano che l account Guest (Ospite) sia disabilitato. Utenti e gruppi pericolosi possono consentire l accesso a back door! Alcuni programmi back door abilitano nuovamente l account Guest (Ospite) e conferiscono diritti amministrativi, perciò, si prega di controllare i dettagli del nodo degli utenti per vedere l attività di tutti gli account e i relativi diritti. Idealmente, l utente non deve utilizzare un account locale per l accesso, ma deve effettuare il login ad un Dominio o ad un account di Active Directory. L ultima cosa importante da controllare è assicurarsi che la password non sia troppo vecchia. Servizi Vengono elencati tutti i servizi sulla macchina. Verificano i servizi in esecuzione da abilitare e disabilitano tutti i servizi che non sono richiesti. Si ricordi che ciascun servizio può costituire potenzialmente un rischio per la sicurezza ed anche una falla nel sistema. Con la chiusura o la disattivazione di servizi non necessari, i rischi per la sicurezza si riducono automaticamente. 20 Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S.

23 Stato delle patch di hotfix del sistema Questo nodo mostra quali patch sono installate e registrate sulla macchina remota. Risultati supplementari Questa sezione elenca i nodi e i risultati supplementari che è possibile controllare dopo aver effettuato la revisione dei risultati di scansione più importanti menzionati in precedenza. Nomi NETBIOS In questo nodo si trovano i dettagli dei servizi installati sulla macchina. Computer MAC Si tratta dell indirizzo MAC della scheda di Rete. Nome utente Si tratta del nome utente dell utente collegato in quel momento o del nome utente della macchina. TTL Il valore di Time to Live (TTL) (Durata in vita) è specifico per ogni dispositivo. I valori principali sono 32, 64, 128 e 255. Sulla base di questi valori e del TTL effettivo del pacchetto, esso dà un idea della distanza (numero di router hop - salti) tra la macchina GFI LANguard N.S.S. e la macchina target che è stata appena sottoposta a scansione. Utilizzo del computer Informa se la macchina target è una Stazione di lavoro o un Server. Dominio Se la macchina target fa parte di un dominio, questo fornirà un elenco dei Domini fidati. Se non fa parte di un Dominio, verrà visualizzata la stazione di lavoro di cui la macchina fa parte. LAN manager Indica il LAN Manager (Gestore LAN) in uso (e il sistema operativo). Sessioni Visualizzano l indirizzo IP di macchine che erano collegate alla macchina target all epoca della scansione. Nella maggioranza dei casi, tale indirizzo è proprio quello della macchina che esegue LANguard N.S.S. e che ha effettuato delle connessioni di recente. Nota: a causa del costante cambiamento di questo valore, tale dato non è salvato nel rapporto, ma è presente solo a fini informativi. Dispositivi di rete Forniscono un elenco di dispositivi di rete disponibili sulla macchina target. Base oraria remota Base oraria remota. Si tratta dell orario della rete sulla macchina target, di solito impostato dal Controllore di dominio. Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo 21

24 Esecuzione di scansioni In sede (On site) o Fuori sede (Off site) Si consiglia di eseguire GFI LANguard N.S.S. in due modi, le cosiddette scansioni In sede e Fuori sede. Scansione In sede (On site) Impostare una macchina su cui sia installato LANguard Network Security Scanner. Effettuare una scansione della rete con una NULL session (Sessione NULLA) (Selezionare Null Session (Sessione nulla) dalla casella delle opzioni a comparsa). Una volta effettuata la prima scansione, cambiare il valore della casella delle opzioni a comparsa in Currently logged on user (Utente attualmente collegato) (se si dispone di diritti amministrativi al dominio) oppure in Alternative credentials (Credenziali alternative) che dispongano di diritti amministrativi al Dominio o all Active Directory. Salvare questa scansione per confronti futuri. Con l opzione NULL session (Sessione NULLA), è possibile visualizzare ciò che vedrebbe qualsiasi utente che si stia collegando alla vostra rete tramite una connessione NULLA. La scansione munita di diritti amministrativi aiuta a mostrare tutti gli hotfix e le patch mancanti sulla macchina. Scansione Fuori sede (Off Site) Se si è dotati di un account di linea commutata esterno oppure di un accesso ad Internet ad alta velocità non legati all azienda, si vorrà effettuare la scansione della propria rete dal mondo esterno. Effettuate una scansione della rete mediante una NULL session (Sessione NULLA). Ciò vi consentirà di visualizzare ciò che chiunque vedrebbe da Internet se o quando effettua la scansione della vostra rete. Elementi che possono influire su tale scansione sono eventuali firewall installati dalla propria azienda o dal proprio ISP, ovvero eventuali regole di un instradatore (router) che potrebbe non trasferire determinati tipi di pacchetti. Salvare questa scansione per confronti futuri. Confronto fra scansioni on site e off site È ora il momento di dare un occhiata alle informazioni generate da LANguard Network Security Scanner. Se la scansione con NULL session effettuata dalla rete interna sembra identica a quella esterna, sappiate che non esistono firewall o dispositivi di filtraggio sulla vostra rete. Si tratta probabilmente di una delle prime cose da esaminare. Quindi, verificare ciò che eventuali utenti dal mondo esterno possono effettivamente visualizzare. Possono visualizzare i vostri controllori di dominio ed ottenere un elenco di tutti gli account del computer? E i server Web, FTP, ecc.? A questo punto, dovete cavarvela da soli. Si può cominciare controllando le patch per server Web, FTP, ecc. Si può inoltre verificare e modificare le impostazioni sui server SMTP. Ogni rete è diversa. GFI LANguard N.S.S. cerca di aiutarvi a individuare con 22 Guida introduttiva: esecuzione di un controllo Manuale di GFI LANguard N.S.S.

25 esattezza i problemi della sicurezza e di condurvi a siti che vi aiutano a riparare le falle che trova. Se si scopre che sono in esecuzione servizi non richiesti, assicurarsi di disattivarli. Ogni servizio costituisce un possibile rischio per la sicurezza che potrebbe permettere a soggetti non autorizzati a penetrare nella vostra rete. Ogni giorno vengono rilasciati nuovi buffer overflow ed exploit e anche se la vostra rete sembra ed è sicura oggi, non significa che lo sia domani. Assicurarsi di effettuare scansioni per la sicurezza di tanto in tanto. Non si tratta di qualcosa da fare una volta e poi dimenticarsene. C è sempre qualcosa di nuovo là fuori e, di nuovo, solo perché si è sicuri oggi, non si sa mai cosa saranno in grado di escogitare gli hacker domani. Manuale di GFI LANguard N.S.S. Guida introduttiva: esecuzione di un controllo 23

26

27 Risultati della scansione filtrata Introduzione Dopo aver effettuato una scansione, GFI LANguard N.S.S. riporta i risultati nel pannello Scan results (Risultati della scansione). Se si è effettuata la scansione di molte macchine, si potrebbe voler filtrare quei dati dal nodo Scan filtrers (Filtri di scansione). Facendo clic su questo nodo e selezionando un filtro esistente, vengono visualizzati i risultati della scansione in base al filtro selezionato. GFI LANguard N.S.S. è munito di un certo numero di filtri di scansione predefiniti. Inoltre, è possibile creare filtri di scansione personalizzati. Filtri di scansione I filtri di scansione seguenti sono inclusi per impostazione predefinita: Rapporto completo: Mostra tutti i dati relativi alla sicurezza raccolti durante una scansione. Vulnerabilità [Sicurezza alta]: Mostra problemi che richiedono attenzione immediata service pack e patch mancanti, vulnerabilità della sicurezza alte e porte aperte. Vulnerabilità [Sicurezza media]: Mostra problemi che devono essere indirizzati dall amministratore: vulnerabilità della sicurezza medie, patch che non possono essere individuate. Vulnerabilità [Tutte]: Mostra tutte le vulnerabilità individuate patch e service pack mancanti, possibili controlli delle informazioni, patch Manuale di GFI LANguard N.S.S. Risultati della scansione filtrata 25

28 che non è stato possibile individuare, vulnerabilità della sicurezza alte e basse. Patch e service pack mancanti: elenca tutti i service pack e i file patch delle macchine sottoposte a scansione. Porte aperte: elenca tutte le porte TCP e UDP. Condivisioni aperte: elenca tutte le condivisioni aperte e chi può accedervi. Politiche di controllo: elenca le impostazioni della politica di controllo su ogni computer sottoposto a scansione. Politiche delle password: elenca le politiche delle password attive su ogni computer sottoposto a scansione. Gruppi e utenti: elenca gli utenti e gruppi individuati su ogni computer sottoposto a scansione. Proprietà del computer: Mostra le proprietà di ciascun computer. Selezione del file source dei risultati della scansione Per impostazione predefinita, i filtri funzioneranno sui dati di scansione attuali. Tuttavia, è possibile selezionare un file source di dati scan results (risultati della scansione) diverso ed applicare i filtri al file source di risultati della scansione salvato (che è effettivamente un file XML). Per farlo, procedere come segue: 1. Passare al nodo Scan filters (Filtri di scansione) del programma dello scanner per la sicurezza GFI LANguard N.S.S. 2. Fare clic con il tasto destro del mouse e selezionare Filter saved scan results XML file (File XML dei risultati di scansioni filtrati salvato ) 3. Selezionare il file XML contenente i dati dei risultati della scansione. 4. Tutti i filtri riportano ora i dati di tale file dei risultati della scansione. Accanto al nodo Scan Filters (Filtri di scansione), viene visualizzato il file source dei dati della scansione: i dati della scansione corrente oppure il nome del file dei risultati della scansione che si stanno filtrando. NOTA: se il file source dei dati per i filtri di scansione è impostato su Current Scan (Scansione corrente), non sarà riportato alcun dato finché non si procede ad una scansione. Creazione di un filtro di scansione personalizzato Per creare un filtro di scansione personalizzato, procedere come segue: 1. Fare clic con il tasto destro del mouse sul nodo GFI LANguard N.S.S. > Security scanner > Scan Filters (GFI LANguard N.S.S. > Scanner per la sicurezza > Filtri di scansione ) 2. Viene visualizzata la finestra di dialogo Scan Filter Properties (Proprietà dei filtri di scansione). 26 Risultati della scansione filtrata Manuale di GFI LANguard N.S.S.

29 Filtri di scansione Pagina generale 3. Assegnare un nome al filtro di scansione 4. Aggiungere eventuali condizioni di filtraggio da applicare ai dati dei risultati di scansione utilizzando il pulsante Add (Aggiungi ). È possibile creare più condizioni per il filtro. Per ogni condizione, si deve specificare la proprietà, la condizione ed il valore. Proprietà disponibili sono costituite dal sistema operativo, hostname, utente collegato, dominio, service pack, condivisione, ecc.). Finestra di dialogo delle condizioni 5. Selezionare quali categorie di informazioni si desidera visualizzare nel filtro dalla pagina Report items (Elementi del rapporto). Manuale di GFI LANguard N.S.S. Risultati della scansione filtrata 27

30 6. Fare clic su ok per creare il filtro. Filtri di scansione Pagina degli elementi del rapporto Tale procedura crea un nuovo nodo permanente sotto il nodo Scan Filters (Filtri di scansione). NOTA: è possibile cancellare/personalizzare eventuali filtri sotto il nodo Scan Filters (Filtri di scansione) facendo clic con il tasto destro del mouse sul filtro e selezionando Delete /Properties (Cancella /Proprietà), a seconda dell operazione che si vuole eseguire. Esempio 1 Trovare computer con una determinata patch mancante Si desidera trovare tutti i computer Windows privi della patch MS (si tratta della patch del famoso virus blaster ). Definire il filtro come segue: 1. Condizione 1: il sistema operativo comprende Windows 2. Condizione 2: l hotfix (la patch) non è installato MS Esempio 2 Elencare tutte le stazioni Sun con un server web Per elencare tutte le stazioni Sun che operano un server web sulla porta 80, definire le seguenti domande: 1. il sistema operativo comprende SunOS 2. la porta TCP è aperta Risultati della scansione filtrata Manuale di GFI LANguard N.S.S.

31 Configurazione di GFI LANguard N.S.S. Introduzione alla configurazione di GFI LANguard N.S.S. Profili di scansione È possibile configurare GFI LANguard N.S.S. dal nodo di configurazione. Da questo nodo si possono configurare opzioni di scansione, profili di scansione, scansioni programmate, opzioni di allerta e molto altro. Profili di scansione Utilizzando i profili di scansione, è possibile configurare diversi tipi di scansione ed usare tali scansioni per concentrarsi su particolari tipi di informazioni che si vogliono controllare. Si crea un profilo di scansione facendo clic con il tasto destro del mouse sul nodo Configuration > Scanning profiles (Configurazione > Profili di scansione) e selezionando New > Scan Profile (Nuovo > Profilo di scansione ) Per ogni profilo si possono impostare le seguenti opzioni: 1. Porte TCP sottoposte a scansione 2. Porte UDP sottoposte a scansione 3. Dati del sistema operativo sottoposto a scansione 4. Vulnerabilità sottoposte a scansione Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. 29

32 5. Patch sottoposte a scansione 6. Proprietà dello scanner Porte TCP/UDP sottoposte a scansione Le schede delle porte TCP/UDP sottoposte a scansione consentono di specificare per quali porte TCP e UDP si desidera effettuare la scansione. Per abilitare una porta basta fare semplicemente clic sulla casella di spunta situata accanto alla porta. Configurazione delle porte a sottoporre a scansione in un profilo Come aggiungere/modificare/eliminare delle porte Se si vogliono aggiungere porte TCP/UDP personalizzate, fare clic sul pulsante Add (Aggiungi). Viene visualizzata la finestra di dialogo Aggiungi della porta. 30 Configurazione di GFI LANguard N.S.S. Manuale di GFI LANguard N.S.S.

33 Schermata 1 Aggiunta di una porta Immettere il numero della porta o un intervallo di porte ed inserire una descrizione del programma che dovrebbe funzionare su quella porta. Se il programma associato alla porta è un Trojan, fare clic sulla casella di spunta Is a Trojan port (È una porta Trojan). Se si specifica che si tratta di una porta Trojan, il cerchio verde/rosso accanto alla porta sarà rosso Nota: assicurarsi di inserire la porta nel Protocollo Window corretto, TCP o UDP. È possibile modificare o rimuovere delle porte facendo clic sui pulsanti Edit (Modifica) o Remove (Elimina) Dati del sistema operativo sottoposto a scansione La scheda dei dati del sistema operativo sottoposto a scansione specifica il tipo di informazioni che GFI LANguard N.S.S. deve raccogliere dal sistema operativo durante la scansione. Attualmente, sono supportati solo i dati del sistema operativo Windows, tuttavia sono in fase di sviluppo i dati di scansione per Unix. Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. 31

34 Vulnerabilità sottoposte a scansione Configurazione delle vulnerabilità da sottoporre a scansione La scheda delle vulnerabilità sottoposte a scansione elenca tutte le vulnerabilità che GFI LANguard N.S.S. può sottoporre a scansione. È possibile disabilitare il controllo di tutte le vulnerabilità deselezionando la casella di spunta Check for vulnerabilities (Ricerca le vulnerabilità). Per impostazione predefinita, GFI LANguard N.S.S. effettua la scansione di tutte le vulnerabilità a lui note. È possibile modificare tale impostazione eliminando la casella di spunta situata accanto ad una vulnerabilità specifica. Dal pannello di destra, è possibile modificare le opzioni di una determinata vulnerabilità facendo doppio clic su di essa. È possibile modificare il livello di sicurezza di un particolare controllo della vulnerabilità dall opzione Security Level (Livello di sicurezza). Tipi di vulnerabilità Le vulnerabilità si suddividono nelle seguenti sezioni: Patch mancanti, patch che non possono essere individuate, abusi CGI, vulnerabilità FTP, vulnerabilità DNS, vulnerabilità di posta, vulnerabilità RPC, vulnerabilità di servizio, vulnerabilità del registro di configurazione del sistema (Registry) e vulnerabilità varie. Opzioni avanzate di controlli di vulnerabilità Fare clic sul pulsante Advanced (Avanzate) per accedere a tali opzioni. Controlli interni Includono controlli di password FTP anonime, di password deboli, ecc. Scansione CGI Avviare la scansione CGI se sono in esecuzione server web che utilizzano CGI. In via facoltativa, è possibile 32 Configurazione di GFI LANguard N.S.S. Manuale di GFI LANguard N.S.S.

35 specificare un server proxy se si è localizzati dietro un server proxy. Nuove vulnerabilità sono abilitate per impostazione predefinita Tale opzione abilita/disabilita le vulnerabilità aggiunte di recente da includere nelle scansioni di tutti gli altri profili. Scaricamento delle vulnerabilità della sicurezza più recenti Per aggiornare le Vulnerabilità della sicurezza, selezionare Help > Check for updates (Aiuto > Ricerca aggiornamenti) dal programma dello scanner GFI LANguard N.S.S. Quest ulltimo scaricherà le vulnerabilità della sicurezza più recenti dal sito Web di GFI. Inoltre, il programma aggiornerà i file fingerprint (impronte digitali) utilizzati per determinare quale sistema operativo risiede sul dispositivo. NOTA: all avvio, GFI LANguard N.S.S. può scaricare automaticamente nuovi controlli di vulnerabilità dal sito Web di GFI. È possibile configurare quest opzione dal nodo GFI LANguard N.S.S. > General > Product Updates (GFI LANguard N.S.S. > Generale > Aggiornamenti del prodotto) Patch sottoposte a scansione Configurazione delle patch da ricercare quando si effettua la scansione con un particolare profilo. La scheda delle patch sottoposte a scansione consente di configurare se tale particolare profilo di scansione deve ricercare patch o service pack mancanti. La scheda elenca tutte le patch cercate da GFI LANguard N.S.S. È possibile disabilitare la ricerca di determinate patch per questo profilo disattivando la casella di spunta accanto al bollettino delle patch. L elenco delle patch si ottiene scaricando l elenco di patch più recente dal sito Web di GFI, che a sua volta si ottiene da Microsoft Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. 33

36 (mssecure.xml). GFI ottiene l elenco delle patch di Microsoft e ne controlla la correttezza, poiché a volte contiene degli errori. Espansione delle informazioni del bollettino Per ulteriori informazioni su un determinato bollettino, fare doppio clic su uno dei bollettini oppure fare clic con il tasto destro del mouse su di esso e selezionare Proprieties (Proprietà). Verranno visualizzati ulteriori dettagli su ciò che il bollettino controlla e ciò a cui si rivolge. Opzioni dello scanner In questa scheda è possibile configurare le opzioni relative alle modalità con le quali GFI LANguard N.S.S. deve effettuare una scansione. 34 Configurazione di GFI LANguard N.S.S. Manuale di GFI LANguard N.S.S.

37 Proprietà dello scanner per la sicurezza Metodi di scoperta sulla rete Questa sezione è dedicata ai metodi che GFI LANguard N.S.S. deve utilizzare per scoprire macchine sulla rete. L opzione NETBIOS queries (Interrogazioni NETBIOS) consente l utilizzo delle interrogazioni (query) NetBIOS o SMB. Se sulla Macchina Windows è installato il Client per le reti Microsoft o se su una macchina Unix sono installati i servizi Samba, allora tali macchine risponderanno ad interrogazioni di tipo NetBIOS. È possibile aggiungere un parametro ScopeID all interrogazione NetBIOS. È richiesto solo in alcuni casi, nei quali i sistemi sono dotati di uno ScopeID. Se la vostra azienda è dotata di un parametro ScopeID impostato su NetBIOS, inserirlo in questo punto. L opzione SNMP queries (Interrogazioni SNMP) consente di spedire pacchetti SNMP con la Community String impostata nella scheda General (Generale). Se il dispositivo risponde all interrogazione, GFI LANguard N.S.S. richiede l identificatore dell oggetto (Object Identifier) dal dispositivo e lo confronta con un database per determinare di quale dispositivo si tratta. L opzione Ping Sweep effettua un ping ICMP di ciascun dispositivo di rete. (Si veda la nota di seguito) L opzione Custom TCP Port Discovery (Personalizza la scoperta di porte TCP) ricerca una determinata porta aperta sulle macchine target. Nota: ciascun tipo di interrogazione summenzionato può essere disattivato, ma GFI LANguard N.S.S. dipende da tutte queste interrogazioni per determinare il tipo di dispositivo e il sistema operativo residente su di esso. Se si sceglie di disattivare una di queste interrogazioni, GFI LANguard N.S.S. può non essere affidabile nella sua identificazione. Nota: alcuni firewall personali bloccano una macchina persino dall inviare un echo ICMP e pertanto non verrà individuato da GFI LANguard N.S.S. Se si ritiene che esistano molte macchine con firewall personali nella propria rete, si prenda in considerazione la possibilità di effettuare una scansione forzata di ciascun IP della rete. Opzioni di scoperta della rete I parametri di scoperta della rete consentono di regolare l individuazione delle macchine, in modo da ottenere la migliore individuazione delle macchine nel minor tempo possibile. I parametri di regolazione comprendono: Scanning Delay (Ritardo di scansione). È il tempo atteso da LANguard N.S.S. fra l invio di un pacchetto TCP/UDP e l altro. Il valore predefinito è pari a 100ms. In base alla connessione e al tipo di rete di cui si dispone (LAN/WAN/MAN), può essere necessario rettificare tali impostazioni. Se l impostazione è troppo bassa, la rete può risultare congestionata da pacchetti inviati da GFI LANguard N.S.S. Se invece l impostazione è troppo alta, verrà sprecato molto tempo inutile. Manuale di GFI LANguard N.S.S. Configurazione di GFI LANguard N.S.S. 35