GFI LANguard Network Security Scanner 7. Manuale. a cura di GFI Software Ltd.

Transcript

1 GFI LANguard Network Security Scanner 7 Manuale a cura di GFI Software Ltd.

2 Le informazioni contenute nel presente documento sono soggette a modifica senza preavviso. Le società, i nomi e i dati utilizzati negli esempi sono fittizi salvo diversamente indicato. Nessuna parte del presente documento può essere riprodotta o trasmessa in alcuna forma, elettronica o meccanica, per qualsiasi scopo, senza esplicita autorizzazione scritta di GFI SOFTWARE Ltd. LANguard è copyright di GFI SOFTWARE Ltd GFI SOFTWARE Ltd. Tutti i diritti riservati. Versione 7.0 Ultimo aggiornamento: 8 giugno 2006

3 Indice Introduzione 1 Introduzione a GFI LANguard Network Security Scanner...1 Importanza della protezione della rete interna...2 Caratteristiche fondamentali...2 Componenti di GFI LANguard N.S.S....4 Schema delle licenze...6 Installazione di GFI LANguard Network Security Scanner 7 Requisiti di sistema...7 Considerazioni firewall...7 Procedura di installazione...7 Inserimento del codice di licenza dopo l installazione...11 Guida introduttiva: esecuzione di un controllo 13 Introduzione...13 Informazioni sui profili di scansione (elenco di controlli e prove di vulnerabilità)...13 Credenziali per accedere ai computer target...14 Considerazioni importanti...14 Esecuzione di una scansione di sicurezza adoperando le impostazioni predefinite...15 Esecuzione di una scansione adoperando diversi profili di scansione (predefiniti)...17 Esecuzione di una scansione adoperando credenziali di accesso al target alternative...18 Avvio delle scansioni di sicurezza direttamente dalla barra degli strumenti...20 Guida introduttiva: analisi risultati scansione di sicurezza 21 Introduzione...21 Analisi dei risultati di scansione...22 Vulnerabilità...23 Possibili vulnerabilità...28 Condivisioni aperte...28 Impostazioni dei criteri di password...30 Impostazioni di registro...30 Impostazioni dei criteri di controllo della sicurezza...31 Porte aperte...34 Utenti e gruppi...35 Utenti collegati...36 Servizi in esecuzione...36 Processi in esecuzione da remoto...37 Applicazioni installate...38 Dispositivi di rete...39 Dispositivi USB...40 Reporting di dispositivi non autorizzati come vulnerabilità di sicurezza di livello elevato...41 Stato dell applicazione di patch e hotfix sul sistema...41 GFI LANguard Network Security Scanner Indice i

4 Nomi NETBIOS...42 Dati del computer target sottoposto a scansione...42 Sessioni attive...43 Orario giornaliero da remoto...44 Unità locali...44 Salvataggio e caricamento dei risultati di scansione 45 Introduzione...45 Salvataggio dei risultati di scansione in un file (XML) esterno...45 Caricamento dei risultati di scansione salvati...46 Caricamento delle scansioni salvate dal terminale database...46 Caricamento dei risultati di scansione salvati da un file (XML) esterno...47 Filtraggio dei risultati di scansione 49 Introduzione...49 Esecuzione di un filtro su una scansione...50 Creazione di un filtro di scansione personalizzato...51 Configurazione di GFI LANguard N.S.S. 57 Introduzione...57 Profili di scansione...57 Scansioni pianificate...58 Creazione di una scansione pianificata...59 Configurazione delle opzioni di notifica dei risultati...62 Profili dei computer...63 Informazioni sull autenticazione file Chiave privata SSH...63 Creazione di un nuovo profilo di computer...64 Modifica delle proprietà di un profilo di computer...65 Utilizzo dei profili dei computer in una scansione...65 File dei parametri...66 Opzioni di manutenzione del database...67 Introduzione...67 Configurazione del terminale database...68 Archiviazione dei risultati di scansione in un terminale database di Microsoft Access...69 Manutenzione del database: gestione risultati di scansione salvati...71 Manutenzione del database: opzioni avanzate...72 Profili di scansione 75 Introduzione...75 Profili di scansione in azione...77 Scansione del computer locale con il Profilo di scansione Predefinito...77 Scansione del computer locale con il Profilo di scansione Applicazioni...78 Creazione di un nuovo profilo di scansione...78 Personalizzazione di un profilo di scansione...80 Configurazione delle opzioni di scansione delle porte TCP o UDP...80 Abilitazione o disabilitazione della scansione di porte TCP...80 Abilitazione o disabilitazione della scansione di porte UDP...81 Personalizzazione dell elenco di porte TCP o UDP da sottoporre a scansione...81 Aggiunta di una nuova porta TCP o UDP all elenco...81 Modalità per modificare o eliminare una porta...82 Configurazione delle opzioni di reperimento dei dati del sistema operativo...83 ii Indice GFI LANguard Network Security Scanner

5 Personalizzazione dei parametri di reperimento dei dati del sistema operativo...83 Configurazione delle opzioni di scansione di vulnerabilità...84 Abilitazione o disabilitazione della scansione di vulnerabilità...84 Personalizzazione dell elenco di vulnerabilità da sottoporre a scansione...85 Personalizzazione delle proprietà dei controlli di vulnerabilità...85 Controlli di vulnerabilità: opzioni avanzate...87 Configurazione delle opzioni di scansione di patch...88 Abilitazione o disabilitazione dei controlli per la scoperta di patch mancanti...88 Personalizzazione dell elenco di patch di software da sottoporre a scansione...89 Utilizzo del servizio di ricerca delle informazioni del bollettino...90 Configurazione delle opzioni di scansione di sicurezza...91 Configurazione delle opzioni di scansione di dispositivi collegati...92 Controlli di abilitazione e disabilitazione dei dispositivi di rete installati...94 Compilazione di un elenco di dispositivi di rete non autorizzati...95 Compilazione di un elenco di dispositivi di rete sicuri...95 Configurazione delle opzioni avanzate di scansione dei dispositivi di rete...96 Controlli di abilitazione e disabilitazione dei dispositivi USB collegati...97 Compilazione di un elenco di dispositivi USB non autorizzati...97 Compilazione di un elenco di dispositivi USB sicuri...98 Configurazione delle opzioni di scansione di applicazioni...98 Controlli di abilitazione e disabilitazione delle applicazioni installate Compilazione di un elenco di applicazioni non autorizzati Compilazione di un elenco di applicazioni sicuri Controlli di abilitazione e disabilitazione delle applicazioni di sicurezza Personalizzazione dell elenco delle applicazioni di sicurezza ai fini della scansione Configurazione delle applicazioni di sicurezza: opzioni avanzate Aggiornamenti di programma di GFI LANguard N.S.S. 105 Introduzione Ricerca della versione degli aggiornamenti attualmente installati Scaricamento degli aggiornamenti software da Microsoft in diverse lingue Avvio manuale degli aggiornamenti del programma Verifica della disponibilità di aggiornamenti software all avvio del programma Configurazione degli aggiornamenti da ricercare all avvio del programma Gestione delle patch: distribuzione degli aggiornamenti di Microsoft 113 Introduzione Informazioni sull agente di distribuzione di patch Informazioni sulle patch richiamate Gestione di patch multilingue Selezione dei computer target su cui distribuire le patch Distribuzione di aggiornamenti mancanti su un computer Distribuzione di aggiornamenti mancanti su una gamma di computer GFI LANguard Network Security Scanner Indice iii

6 Distribuzione di aggiornamenti mancanti su tutti i computer Selezione delle patch da distribuire Scaricamento dei file di patch e service pack Arresto dei download attivi Configurazione di parametri di distribuzione di file di patch alternativi (facoltativa) Distribuzione degli aggiornamenti Avvio del processo di distribuzione delle patch Gestione delle patch: distribuzione di software personalizzato 123 Introduzione Selezione dei target per la distribuzione di software o patch personalizzato Elenco del software da distribuire Avvio del processo di distribuzione Pianificazione della distribuzione delle patch Opzioni di distribuzione Opzioni precedenti alla distribuzione Opzioni successive alla distribuzione Opzioni di distribuzione avanzate Confronto tra risultati 128 Introduzione Confronto interattivo tra risultati di scansione Configurazione delle informazioni da riportare Generazione di un rapporto di confronto tra risultati Monitor di stato di GFI LANguard N.S.S. 128 Visualizzazione delle operazioni pianificate Visualizzazione del progresso delle scansioni pianificate Visualizzazione del progresso delle distribuzioni pianificate Strumenti 128 Introduzione Ricerca DNS Trace Route Client Whois (Chi è) SNMP Walk Strumento di controllo SNMP Strumento controllo Microsoft SQL Server Strumento per l elencazione dei computer Avvio di una scansione di sicurezza Distribuzione di patch personalizzate Abilitazione di politiche di controllo Strumento di elencazione degli utenti Utilizzo di GFI LANguard N.S.S. dalla riga dei comandi 128 Utilizzo di "lnsscmd.exe, lo strumento riga di comando di scansione Esempio: come lanciare una scansione del computer target dallo strumento riga di comando Utilizzo di deploycmd.exe, lo strumento riga di comando di distribuzione di patch Esempio: come lanciare un processo di distribuzione di patch dallo strumento riga di comando iv Indice GFI LANguard Network Security Scanner

7 Aggiunta di controlli di vulnerabilità tramite condizioni o script personalizzati 128 Introduzione Linguaggio VBscript di GFI LANguard N.S.S Modulo SSH di GFI LANguard N.S.S Parole chiave: Aggiunta di un controllo di vulnerabilità che adopera uno script VB (.vbs) personalizzato Fase 1: creazione dello script Fase 2: aggiunta del nuovo controllo di vulnerabilità Aggiunta di un controllo di vulnerabilità che adopera uno shell script Fase 1: creazione dello script Fase 2: aggiunta del nuovo controllo di vulnerabilità Aggiunta di un controllo di vulnerabilità CGI Aggiunta di altri controlli di vulnerabilità Opzioni varie 128 Abilitazione di NetBIOS su un computer di rete Installazione del componente Client for Microsoft Networks su Windows 2000 o superiore Configurazione delle impostazioni dei criteri di password in un dominio basato su Active Directory Visualizzazione delle impostazioni dei criteri di password in un dominio basato su Active Directory Risoluzione dei problemi 128 Introduzione Knowledgebase Richiesta di assistenza via Richiesta di assistenza tramite la web-chat Richiesta di assistenza telefonica Forum via web Notifiche relative alle build Indice analitico 128 GFI LANguard Network Security Scanner Indice v

8

9 Introduzione Introduzione a GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) è uno strumento di controllo della sicurezza che, in modo fattivo, crea rapporti e ripara vulnerabilità di rete in maniera tempestiva. Durante un controllo di sicurezza, GFI LANguard N.S.S. esegue la scansione l intera rete, IP per IP, e avvisa l'amministratore relativamente ai punti deboli scoperti sulla rete o sulle reti. Adoperando una combinazione di funzioni del sistema operativo con le caratteristiche offerte da GFI LANguard N.S.S., è possibile occuparsi in maniera fattiva dei problemi di sicurezza rilevati. Per esempio, i problemi di sicurezza sono rilevati fattivamente chiudendo porte non necessarie, condivisioni aperte e installando service pack e hotfix prima che soggetti disonesti possano sfruttarli. Per impostazione predefinita, GFI LANguard N.S.S. consente di eseguire controlli di sicurezza su computer mirati sia Windows sia su Linux. Durante un controllo, il motore di scansione raccoglie varie informazioni hardware e software dai computer sottoposti a scansione; tra cui il livello di service pack di ciascun computer target, dispositivi potenzialmente vulnerabili, quali punti di accesso wireless e dispositivi USB, applicazioni installate e condivisioni e porte aperte. Lo scanner elenca inoltre impostazioni di configurazione specifiche del sistema operativo, come impostazioni di registro di Windows e dettagli di configurazione relativi alla politica delle password, aiutando nell identificazione di problemi di sicurezza comuni correlati a un sistema operativo non opportunamente configurato (per esempio, un sistema operativo eseguito con impostazioni difettose). GFI LANguard N.S.S. è inoltre provvisto di algoritmi che ricercano la presenza di determinati software di sicurezza (cioè, applicazioni antivirus e antispyware) e ne garantiscono l esecuzione con i file di definizione più recenti rilasciati dalla società madre. Laddove possibile, il motore di scansione verifica inoltre che, nelle applicazioni antivirus e antispyware, risultino abilitate importanti caratteristiche di sicurezza, in modo da garantire che le soluzioni di sicurezza distribuite sulla rete stiano funzionando efficacemente. Immediatamente pronto per l uso, GFI LANguard N.S.S. presenta inoltre funzionalità di gestione delle patch per sistemi operativi non in lingua inglese. Pertanto, è possibile scaricare automaticamente aggiornamenti Microsoft mancanti in varie lingue e distribuirli su tutta la rete. È inoltre possibile adoperare il motore di distribuzione delle patch per installare da remoto software personali e patch di terzi (non Microsoft) su tutta la rete (per esempio, aggiornamenti delle definizioni antivirus). GFI LANguard Network Security Scanner Introduzione 1

10 Importanza della protezione della rete interna Molto spesso, la protezione della rete interna è sottovalutata dai suoi amministratori. In alcuni ambienti, infatti, una tale protezione non esiste affatto e consente ad un utente di accedere facilmente al computer di un altro utente, servendosi di exploit ben noti, relazioni di fiducia e impostazioni difettose. La maggior parte di questi attacchi non richiede particolari abilità, mettendo così a repentaglio l integrità della rete. A seguito della flessibilità richiesta per la gestione ordinaria, le reti interne non possono permettersi una sicurezza massima. D altro canto, senza alcuna protezione, gli utenti interni possono rappresentare una grave minaccia per molte reti aziendali interne. Secondo il centro di coordinamento CERT dell Università Carnegie Mellon, negli Stati Uniti, Per intrusione interna si intende qualsiasi compromissione di una rete, di un sistema o database commessa da chiunque abbia (o aveva) accesso legittimo alla rete, al sistema o ai dati. Tali insider" comprendono: dipendenti attuali ed ex dipendenti, dipendenti part-time, soci aziendali, consulenti e appaltatori. - Computer Weekly. L utente di un'azienda dispone già dell'accesso a molte risorse interne, senza dover superare firewall o altri meccanismi di sicurezza. Infatti, le misure di sicurezza adottate hanno in genere lo scopo di impedire l'accesso alla rete interna a sorgenti esterne inaffidabili, quali utenti internet. Tuttavia, gran parte delle minacce proviene dagli utenti interni. Un utente interno, provvisto di capacità di hacker, può penetrare ed ottenere diritti di amministrazione di reti, accertandosi, contemporaneamente, che il suo abuso risulti difficile da identificare o persino da scoprire. L indagine sul crimine e la sicurezza informatici, compilata nel 2003 da Computer Security Institute e FBI, ha scoperto che circa il 65% degli intervistati ha riportato almeno un episodio di sicurezza che coinvolgeva un insider. La scarsa protezione della rete può altresì consentire l'accesso al resto della rete interna con maggiore facilità ad utenti disonesti che riescono ad introdursi nel sistema di rete. In questo modo, un attaccante esperto potrà leggere e probabilmente divulgare e documenti riservati, eliminare dati e danneggiare computer, comportando la perdita di informazioni e molto altro. Intrusi maligni possono adoperare inoltre la rete e le risorse di rete per come base per attaccare (o spiare!) altri siti (vale dire, eseguire una ritrasmissione di attacchi). In questo modo, tutte le prove dell attacco riportano all'utente e alla rete vittime, senza esporre l identità stessa dell hacker. La maggioranza delle vulnerabilità sono facilmente riparabili con patch e gli attacchi contro noti exploit possono essere fermati agevolmente dagli amministratori, purché questi ne vengano a conoscenza in tempo utile. GFI LANguard N.S.S. aiuta gli amministratori ad identificare tali vulnerabilità! Caratteristiche fondamentali Scopre servizi pericolosied apre porte TCP e UDP. Individua CGI, DNS, FTP, Posta, RPC e altre vulnerabilità note. 2 Introduzione GFI LANguard Network Security Scanner

11 Individua utenti disonesti o di backdoor. Individua condivisioni aperte ed elenca coloro che hanno accesso a tali condivisioni unitamente alle rispettive autorizzazioni. Elenca i gruppi, compresi i membri del gruppo durante la scansione del computer target. Elenca dispositivi USB allegati ai computer target (ad esempio, ipod di Apple e altri dispositivi di memoria portatili). Elenca i dispositivi di rete e verifica se detti dispositivi sono dotati di cavo, sono wireless o virtuali. Elenca i servizi e il loro rispettivo stato. Elenca i processi remoti in esecuzione. Elenca le applicazioni installate. Controlla che i file di firma delle applicazioni di protezione installate (antivirus e antispyware) risultino aggiornati. Lo scanner d sicurezza, ove possibile, esaminerà inoltre le impostazioni di configurazione in esecuzione di un determinato software di sicurezza (ad esempio, dell antivirus BitDefender) per verificare che le sue caratteristiche principali risultino abilitate. Pianificazione delle scansioni di sicurezza della rete e invio di rapporti via al completamento delle medesime. Raccolta dei dati di scansione di sicurezza e sistema operativo per sistemi operativi Windows. Raccolta dei dati di scansione di sicurezza e sistema operativo per sistemi operativi Linux tramite SSH. Collegamento ai target Linux remoti mediante stringhe di credenziali di accesso convenzionali e mediante un'autenticazione Public Key (ossia, adoperando file SSH Public/Private Key). Aggiornamento automatico: scarica automaticamente i file di definizione relativi ai controlli di vulnerabilità più recenti e le informazioni sulle patch mancanti all avvio dei programmi. Supporto della gestione di patch per sistemi operativi Windows 2000, XP e 2003, Microsoft Office XP o successivi, Microsoft Exchange 2000 e Microsoft SQL Server 2000 o successivi. Gestione di patch per sistemi operativi multilingue. Possibilità di salvare i risultati della scansione di sicurezza su database terminali di Microsoft Access o Microsoft SQL Server e in file XML. Rapporti per l amministratore dopo il completamento di una scansione pianificata, contenenti i risultati completi e dettagliati e/o le modifiche identificate tra scansioni successive. Individuazione di host dal vivo e identificazione del sistema operativo. SNMP Audit (Controllo SNMP). Controllo Microsoft SQL. Debugger di script utilizzabile per creare ed effettuare il debug di controlli di vulnerabilità personalizzati. I controlli sono creati adoperando un linguaggio compatibile con VBscript. GFI LANguard Network Security Scanner Introduzione 3

12 Presenta funzionalità multithreading (cioè, consente la scansione di più computer contemporaneamente). Sono compresi strumenti della riga di comando che consentono di eseguire la scansione e distribuire aggiornamenti e patch di software e di applicazioni di terzi, senza visualizzare l'interfaccia utente di GFI LANguard N.S.S. È possibile adoperare gli strumenti della riga di comando direttamente dal prompt della riga di comando, tramite applicazioni di terzi e anche tramite script e file batch personalizzati. Componenti di GFI LANguard N.S.S. GFI LANguard N.S.S. è realizzato su un'architettura che offre affidabilità e scalabilità elevate alle reti di media e di grossa dimensione. GFI LANguard N.S.S. è costituito dai seguenti cinque componenti principali: Interfaccia di configurazione o utente di GFI LANguard N.S.S. Servizio di supervisione di GFI LANguard N.S.S. Monitor di stato di GFI LANguard N.S.S.. Servizio di agente delle patch di GFI LANguard N.S.S. Debugger di script di GFI LANguard N.S.S. Script. Interfaccia di configurazione o utente di GFI LANguard N.S.S. Schermata 1 Interfaccia di configurazione di GFI LANguard N.S.S. Lanciare GFI LANguard N.S.S. da Start Tutti i programmi GFI LANguard Network Security Scanner 7.0 LANguard Network Security Scanner. Adoperare l applicazione per: 4 Introduzione GFI LANguard Network Security Scanner

13 lanciare le sessioni di scansione di sicurezza della rete e distribuzione di patch; visualizzare i risultati di scansione di sicurezza salvati e quelli in tempo reale; configurare le opzioni e i profili di scansione e i filtri dei rapporti; adoperare strumenti di amministrazione della sicurezza della rete specializzati. Servizio di supervisione di GFI LANguard N.S.S. Si tratta del servizio in background che esegue le operazioni pianificate, comprese operazioni di scansione di sicurezza della rete e distribuzione di patch pianificate. Servizio di agente delle patch di GFI LANguard N.S.S. Si tratta del servizio in background che gestisce la distribuzione di patch, service pack e aggiornamenti software sui computer target. Debugger di script di GFI LANguard N.S.S. Script Schermata 2 - Debugger di script di GFI LANguard N.S.S. Script Questo modulo consente di scrivere e di effettuare il debug di script personalizzati adoperando un linguaggio compatibile con VBScript. Adoperare questo modulo per creare script di controlli di vulnerabilità personalizzati. Detti controlli possono poi essere inclusi in GFI LANguard N.S.S. per eseguire scansioni personalizzate di target di rete. Lanciare il debugger di script di GFI LANguard N.S.S. (GFI LANguard N.S.S. Script Debugger) selezionando Start Tutti i programmi GFI LANguard Network Security Scanner Introduzione 5

14 GFI LANguard Network Security Scanner 7.0 LNSS Script Debugger. Monitor di stato di GFI LANguard N.S.S. Schermata 3 - Monitor di GFI LANguard N.S.S. Adoperare questo modulo per controllare lo stato delle scansioni pianificate e le sessioni di distribuzione degli aggiornamenti software pianificati. Da questo modulo, inoltre, è possibile arrestare operazioni pianificate che non sono ancora state eseguite. Lanciare il Monitor di stato di GFI LANguard N.S.S. (GFI LANguard N.S.S. Status Monitor) selezionando Start Tutti i programmi GFI LANguard Network Security Scanner 7.0 LNSS Status Monitor. Schema delle licenze Lo schema delle licenze di GFI LANguard N.S.S. dipende dal numero di computer e dispositivi che si desidera sottoporre a scansione. Ad esempio, la licenza da 100 IP consente di effettuare la scansione fino a 100 computer o dispositivi, da una singola stazione di lavoro o server della rete. Per maggiori informazioni sulle licenze di GFI LANguard N.S.S., visitare il sito: 6 Introduzione GFI LANguard Network Security Scanner

15 Installazione di GFI LANguard Network Security Scanner Requisiti di sistema Installare GFI LANguard Network Security Scanner su un computer in possesso dei seguenti requisiti: Sistemi operativi Windows 2000 (SP4), XP (SP2) o 2003 Internet Explorer 5.1 o superiore Client per componenti di Microsoft Networks, (inclusi, per impostazione predefinita, in Windows 95 o superiori) NOTA: per maggiori informazioni sulle modalità d'installazione del Client per componenti di Microsoft Networks, si rinvia al paragrafo Installazione del Client per componenti di Microsoft Networks su Windows 2000 o superiore del capitolo Opzioni varie. Secure Shell (SSH), (incluso per impostazione predefinita in ogni pacchetto distributivo del sistema operativo Linux). Considerazioni firewall I firewall installati sull host o sui computer target interferiscono con le operazioni di GFI LANguard N.S.S. In questi casi si deve: disabilitare il software de firewall sul/sui computer host o target oppure adoperare i criteri di dominio di Windows Internet Connection Firewall per configurare le porte e i servizi necessari per il corretto funzionamento di GFI LANguard N.S.S. Per maggiori informazioni sulle modalità di configurazione dei criteri di Active Directory per supportare la scansione di/da computer che eseguono Windows Internet connection Firewall (XP SP2 o 2003 SP1) visitare il sito: (in inglese). Procedura di installazione 1. Lanciare l installazione guidata di GFI LANguard Network Security Scanner facendo doppio clic su languardnss7.exe. Quando viene visualizzata la finestra di benvenuto, fare clic su Next (Avanti) per avviare l installazione. 2. Nella finestra di dialogo della licenza, leggere attentamente le condizioni del contratto di licenza. Selezionare l opzione I Accept the Licensing agreement ( Accetto le condizioni del contratto di licenza ) e fare clic su Next (Avanti) per proseguire. GFI LANguard Network Security Scanner Installazione di GFI LANguard Network Security Scanner 7

16 3. Indicare il nome utente, il nome dell azienda e il codice di licenza completi. Se si sta utilizzando una versione di valutazione, lasciare il codice seriale predefinito (cioè, Evaluation, Valutazione ). Fare clic su Next (Avanti) per continuare. Schermata 4 - Indicazione delle credenziali dell amministratore del dominio o utilizzo di un account di sistema locale 4. Indicare l account di servizio in cui verrà eseguito GFI LANguard N.S.S. Fare clic su Next (Avanti) per continuare. IMPORTANTE: GFI LANguard N.S.S. deve essere eseguito adoperando credenziali di amministrazione. Si consiglia di fornire informazioni di account di Amministratore di dominio oppure di Amministratore Enterprise. Il motivo di tale richiesta risiede nell elevata probabilità che GFI LANguard N.S.S. avrà bisogno di diritti di amministrazione per accedere ai computer target della rete. Tuttavia, non è obbligatorio fornire informazioni di account di Amministratore di dominio o Enterprise per ogni computer target, in quanto è possibile fornire credenziali separate dall interfaccia di configurazione successivamente all installazione (nodo Configuration Computer Profiles, Configurazione Profili computer). 8 Installazione di GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner

17 Schermata 5 Scelta di un terminale database 5. Indicare il terminale database da adoperare per archiviare i risultati o le informazioni di scansione. Si può scegliere tra Microsoft Access, Microsoft SQL Server 7 o 2000 o MSDE. Fare clic su Next (Avanti) per continuare. NOTA 1: si consiglia di adoperare un terminale database di Microsoft Access per reti di piccole dimensioni. Per reti di medie e grandi dimensioni, si consiglia l utilizzo di Microsoft SQL Server 2000 come terminale database. NOTA 2: MSDE è in grado di gestire fino a 2 GB di dati, mentre Microsoft SQL Server può gestire maggiori volumi di dati in modo efficiente e senza limitazioni. GFI LANguard Network Security Scanner Installazione di GFI LANguard Network Security Scanner 9

18 Schermata 6 Indicazione dei dettagli del server SQL 6. Se Microsoft SQL Server è selezionato come terminale database, indicare le credenziali di accesso da adoperare quando ci si collega al database. È possibile adoperare le informazioni di account utente di SQL Server o i dettagli dell autenticazione di Windows NT per accedere al database. Fare clic su Next (Avanti) per continuare. NOTA: quando si adopera l autenticazione di Windows NT, accertarsi che i servizi di GFI LANguard N.S.S. siano in esecuzione negli account utenti muniti dei diritti amministrativi e privilegi di accesso necessari per collegarsi ai database SQL Server e relativa gestione. Schermata 7 Indicazione dell indirizzo di avviso e dei dettagli del server di posta 10 Installazione di GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner

19 7. Specificare i dettagli del server SMTP o di posta (Nome host/ip e Porta) e l indirizzo al quale inviare notifiche amministrative generiche. Fare clic su Next (Avanti) per continuare. 8. Indicare il percorso d installazione di GFI LANguard N.S.S. e fare clic su Next (Avanti). L installazione richiede circa 40 MB di spazio libero sul disco. 9. Fare clic su Finish (Fine) per completare l installazione. Inserimento del codice di licenza dopo l installazione Se si è acquistato GFI LANguard N.S.S., inserire il codice di licenza acquistato nel nodo General Licensing (Generale Licenze): non è necessaria alcuna reinstallazione o riconfigurazione. NOTA 1: Per impostazione predefinita, GFI LANguard N.S.S. ha un periodo di valutazione di 10 giorni con tutte le funzionalità attive. Se i dati forniti nel modulo di download sono corretti, si riceve un contenente un codice di licenza che consente di valutare GFI LANguard N.S.S. per 30 giorni. NOTA 2: le licenze di GFI LANguard N.S.S. si basano sul: numero di computer o IP che eseguiranno GFI LANguard Network Security Scanner; numero di computer o IP che si desidera sottoporre a scansione. Ad esempio, se si desidera installare GFI LANguard N.S.S. su un server e si intende sottoporre a scansione una rete di 20 computer target, si deve acquistare una licenza da 25 IP. NOTA 3: l inserimento del Codice di licenza non va confuso con la procedura di registrazione dei dati dell azienda sul nostro sito web. Questa seconda fase è molto importante, in quanto ci consente di fornire l assistenza e comunicare notizie importanti relative al prodotto. È possibile eseguire la registrazione e ottenere l account cliente GFI dal sito: NOTA 4: per scoprire le modalità per acquistare GFI LANguard N.S.S., seguire il nodo General How to purchase (Generale Come acquistare). GFI LANguard Network Security Scanner Installazione di GFI LANguard Network Security Scanner 11

20

21 Guida introduttiva: esecuzione di un controllo Introduzione Il controllo delle risorse di rete consente all'amministratore di identificare e valutare eventuali rischi nell ambito della rete. L esecuzione manuale di un tale controllo comporta una noiosa serie di operazioni ripetitive e dispendiose, da effettuarsi in modo accurato su ogni singolo computer della rete. GFI LANguard N.S.S. automatizza il processo del controllo di sicurezza ed effettua la scansione dei computer da remoto, alla ricerca di vulnerabilità note, configurazioni errate comuni e di altri possibili problemi di sicurezza in un periodo di tempo relativamente breve. Le informazioni raccolte durante il processo di scansione sono poi adoperate come ausilio nella ricerca e attenuazione dei problemi di sicurezza identificati. Tra le informazioni più comuni elencate nel corso del processo di scansione di sicurezza, vanno citati: il livello di service pack del computer le patch di sicurezza mancanti i punti di accesso wireless i dispositivi USB le condivisioni aperte le porte aperte i servizi o le applicazioni attivi sui computer target le voci delle chiavi di registro le password deboli utenti e gruppi. Per eseguire un controllo di sicurezza, il motore di scansione richiede di indicare tre parametri principali: 1. i computer target da sottoporre a scansione alla ricerca di problemi sicurezza, 2. il profilo di scansione da adoperare (il quale indica controlli o prove di vulnerabilità da effettuarsi sui target specifici) e 3. i dettagli di autenticazione da utilizzare per collegarsi al/ai computer target. Informazioni sui profili di scansione (elenco di controlli e prove di vulnerabilità) Prima di avviare una scansione è necessario specificare quali controlli o prove di vulnerabilità eseguire sui target specificati, GFI LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo 13

22 in quanto GFI LANguard N.S.S. contiene molti controlli di vulnerabilità che può eseguire sull'infrastruttura di rete. Benché molti di essi sono eseguibili su tutti i computer della rete, esistono alcuni controlli "specializzati" specifici del ruolo; di conseguenza, il loro risultato dipende sia dai servizi eseguiti su quei particolari computer target sia dal tipo di scansione di sicurezza desiderato che è necessario eseguire. Per esempio, i controlli di vulnerabilità CGI (Common Gateway Interface) vanno eseguiti soltanto quando si effettua la scansione di server Web. In GFI LANguard N.S.S., i controlli di vulnerabilità che saranno eseguiti su un computer target in una scansione di sicurezza sono specificati in modelli denominati "Profili di scansione. Tali profili di scansione contengono "le istruzioni o i parametri di scansione che saranno seguiti dal motore di scansione nel corso di un controllo di sicurezza, vale a dire, i controlli di vulnerabilità da eseguire sui target e le informazioni raccolte da detti target. Per maggiori informazioni sui profili di scansione, si rinvia al capitolo Profili di scansione del presente manuale. Adoperare l opzione Default Scanning Profile ( Profilo di scansione predefinito ) per ottenere una scansione di sicurezza equilibrata. Credenziali per accedere ai computer target Durante una scansione di sicurezza, GFI LANguard N.S.S. ha bisogno di collegarsi in modalità remota a ciascun computer target per alcuni tipi di informazioni sui test di recupero o vulnerabilità. Per impostazione predefinita, GFI LANguard N.S.S. adopera il contesto di sicurezza dell utente dove è eseguito. È inoltre possibile indicare credenziali di accesso alternative per eseguire una scansione con un contesto di sicurezza diverso da quello dell utente collegato in quel momento. Quanto sopra descritto è adatto a gran parte delle situazioni di scansione di rete; tuttavia, è possibile soddisfare le proprie esigenze di scansione, collegandosi ad alcuni computer target con un determinato account di amministrazione e ad altri con un account di amministrazione del tutto diverso. Per sistemare questa situazione, GFI LANguard N.S.S. consente di configurare profili di computer per i diversi target localizzati sulla rete. Adoperare i profili di computer per indicare le credenziali di accesso da utilizzare per il collegamento ad un computer target, anche quando una scansione di sicurezza è eseguita da un contesto di sicurezza diverso. Ad esempio, è possibile adoperare profili di computer per accertarsi che il computer FILESERVER sia sempre sottoposto a scansione con l account COMPANY\fileserveradmin e che il computer WEBSERVER sia sempre sottoposto a scansione con l account COMPANY\webserveradmin. Per maggiori informazioni sui profili di computer, si rinvia al paragrafo Profili di computer del capitolo Configurazione di GFI LANguard N.S.S. del presente manuale. Considerazioni importanti 1. Se, durante la scansione, la propria azienda esegue qualsiasi tipo di software di scoperta d intrusione (Intrusion Detection Software o IDS), GFI LANguard N.S.S. attiverà molte avvertenze IDS e avvisi 14 Guida introduttiva: esecuzione di un controllo GFI LANguard Network Security Scanner

23 di intrusione in dette applicazioni. Se non si è responsabili del sistema IDS, accertarsi di informare l'incaricato in merito ad eventuali scansioni di sicurezza pianificate. 2. Oltre alle avvertenze relative al software IDS, si tenga presente che verranno mostrate molte scansioni negli archivi storici (log file) in modo indiscriminato. I log UNIX, i server web, ecc. illustreranno i tentativi di intrusione eseguiti dal computer che esegue GFI LANguard Network Security Scanner. Se non si è l unico amministratore presso la propria sede, assicurarsi che gli altri amministratori siano informati delle scansioni che si stanno per effettuare. Esecuzione di una scansione di sicurezza adoperando le impostazioni predefinite Subito pronto per l uso, GFI LANguard N.S.S. comprende impostazioni di configurazione predefinite che consentono di eseguire una scansione di base immediata subito dopo il completamento dell installazione. Per una scansione predefinita, è necessario specificare unicamente i computer che si desidera sottoporre a scansione. Per impostazione predefinita, GFI LANguard N.S.S.: si autentica sui target adoperando le credenziali di accesso dell utente collegato in quel momento (cioè le credenziali con le quali GFI LANguard N.S.S. è in esecuzione); adopera un elenco generico di controlli di vulnerabilità predefinite, preconfigurati nel profilo di scansione Predefinito. Si tratta di uno dei profili di scansione predefiniti contenuto in GFI LANguard N.S.S. Per eseguire la prima scansione, procedere come segue: 1. Fare clic su File New (File Nuovo). Schermata 8 Selezione del tipo di scansione di sicurezza 2. Scegliere il tipo di scansione che si desidera eseguire selezionando una delle seguenti opzioni: Scan single computer (Scansione di un singolo computer ). Selezionare questa opzione per eseguire la scansione di un singolo computer. Scan range of Computers (Scansione di un intervallo di computer ). Selezionare questa opzione per eseguire la scansione di un intervallo di computer specifico. Scan list of Computers (Scansione di un elenco di computer ). Selezionare questa opzione per eseguire la scansione di un elenco di computer personale. GFI LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo 15

24 Scan a Domain (Esegui la scansione di un dominio). Selezionare questa opzione per eseguire la scansione di un intero dominio di Windows. NOTA: a questo punto, è possibile ignorare l opzione Scheduled Scan (Scansioni pianificate). Questa opzione è adoperata per configurare le scansioni di vulnerabilità che saranno eseguite automaticamente in un giorno o ad un ora specifici. Le scansioni pianificate sono descritte più dettagliatamente nel capitolo Configurazione di GFI LANguard N.S.S. del presente manuale. Schermata 9 Finestre di dialogo delle opzioni della New Scan (Nuova scansione) 3. Indicare i dettagli dei target obbligatori (cioè, nome host, IP, intervallo di IP o nome di dominio). 4. Fare clic sul pulsante OK per avviare la scansione predefinita. Informazioni sul processo di scansione GFI LANguard Network Security Scanner avvia il processo di scansione, innanzitutto identificando i target disponibili per la scansione (ossia i computer target della rete accesi e raggiungibili). Tale operazione è eseguita in modo automatico inviando richieste ai computer target specificati tramite query del NETBIOS, ping ICMP e query SNMP. Se un computer target non risponde a tali query, GFI LANguard N.S.S. presume che il computer sia spento o non esista all indirizzo IP specificato. Per impostazione predefinita, GFI LANguard N.S.S. NON esegue la scansione di computer target che non rispondono alle richieste di scansione. Dopo aver stabilito la connessione con un computer target, il motore di scansione esegue la serie di controlli di vulnerabilità predefinita o 16 Guida introduttiva: esecuzione di un controllo GFI LANguard Network Security Scanner

25 specificata. Nel corso della scansione predefinita, il motore di scansione esegue automaticamente un elenco preconfigurato e generico di controlli di vulnerabilità che testano più aree della rete alla ricerca di punti deboli specifici. Successivamente, si apprenderanno le modalità di esecuzione di controlli più specifici mediante la selezione, personalizzazione o creazione di profili di scansione differenti. Esecuzione di una scansione adoperando diversi profili di scansione (predefiniti) Oltre al profilo di scansione predefinito, GFI LANguard N.S.S. è provvisto di un vasto elenco di profili di scansione diversi, ciascuno preconfigurato per eseguire controlli di vulnerabilità particolari o più specifici. Lo scopo dei diversi profili di scansione è quello di ridurre al minimo le modifiche di configurazione richieste prima di ogni scansione, adoperando modelli di scansione delle vulnerabilità già configurati. In questa scansione di vulnerabilità, vanno indicati due parametri principali: i target che si desidera sottoporre a scansione e il profilo di scansione (ossia, i controlli o le prove di vulnerabilità) da eseguire sui target. Per impostazione predefinita, GFI LANguard N.S.S. si autentica sui target adoperando le credenziali di accesso dell utente collegato in quel momento (cioè le credenziali con le quali GFI LANguard N.S.S. è in esecuzione). Per eseguire un controllo di sicurezza della rete adoperando un profilo di scansione diverso, procedere come segue: 1. Fare clic su File New (File Nuovo). 2. Selezionare il tipo di scansione che si desidera eseguire (ad esempio, la scansione di un solo computer). 3. Indicare i dettagli dei target obbligatori (cioè, nome host, IP, intervallo di IP o nome di dominio). GFI LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo 17

26 Schermata 10 Finestra di dialogo Nuova scansione: selezione di un profilo di scansione diversa 4. Dall elenco a discesa Scan Profile ( Profilo di scansione ) situato nella parte inferiore della finestra di dialogo, selezionare il profilo di scansione da adoperare per questa scansione di sicurezza della rete. Ad esempio, selezionare Missing Patches ( Patch mancanti ) per eseguire una scansione di rete che controlli ed elenchi le patch di software Microsoft mancanti e i target privi di tali patch. 5. Fare clic sul pulsante OK per avviare la scansione. Esecuzione di una scansione adoperando credenziali di accesso al target alternative Quando esegue una scansione di sicurezza, GFI LANguard N.S.S. si deve autenticare sui computer target, in modo da attribuire al motore di scansione le autorizzazioni per eseguire sul target i controlli di vulnerabilità configurati e reperire le informazioni di sistema richieste. GFI LANguard N.S.S. si autentica sui target collegandosi "fisicamente" ai computer target adoperando le credenziali di accesso di un account munito di diritti di amministrazione. Non deve essere trattarsi necessariamente di un account Amministratore di dominio o Amministratore di Enterprise. Tuttavia, tale account utente deve essere provvisto di privilegi di amministrazione sui computer target. Sistemi diversi richiedono spesso metodi di autenticazioni differenti. Per esempio, i sistemi Linux spesso richiedono un file private key (file della chiave privata) anziché la stringa di password convenzionale. GFI LANguard N.S.S. supporta entrambi i metodi. Per maggiori informazioni sui metodi di autenticazione, si rinvia al paragrafo Profili di computer del capitolo Configurazione di GFI LANguard N.S.S. del presente manuale. 18 Guida introduttiva: esecuzione di un controllo GFI LANguard Network Security Scanner

27 Per eseguire un controllo della sicurezza di rete adoperando credenziali di accesso specifici, procedere come segue: Schermata 11 Nuova barra degli strumenti di scansione di GFI LANguard N.S.S.: elenco a discesa dei metodi di autenticazione 1. Dall elenco a discesa delle credenziali sulla barra degli strumenti di scansione di GFI LANguard N.S.S., specificare il metodo di autenticazione da adoperare in questo controllo di sicurezza, selezionando una delle seguenti opzioni: Currently Logged-On User ( Utente collegato in quel momento"): selezionare questa opzione per autenticarsi sui computer target adoperando credenziali di account Windows NT (ossia, con l'account tramite il quale GFI LANguard N.S.S. è in esecuzione). Null Session ( Sessione nulla ): selezionare questa opzione per provare a collegarsi ai computer target senza autenticazione. In tal modo, è possibile identificare quali informazioni sono accessibili da utenti non autenticati (interni o esterni). Alternative credentials ( Credenziali alternative ): selezionare questa opzione per autenticarsi sui computer target adoperando le credenziali specifiche. Indicare tali credenziali nei campi Nome utente e Password previsti accanto all elenco a discesa. SSH Private Key ( Chiave privata SSH ): selezionare questa opzione per autenticarsi su computer target basati su Linux, adoperando un nome utente e un file chiave privata anziché una stringa password (ossia, mediante l'autenticazione Public Key, Chiave pubblica). NOTA: per maggiori informazioni sull autenticazione Public Key, si rinvia al paragrafo Informazioni sull autenticazione del file Chiave privata SSH del capitolo Configurazione di GFI LANguard N.S.S. del presente manuale. 2. Fare clic su File New (File Nuovo). 3. Selezionare il tipo di scansione che si desidera eseguire (ad esempio, la scansione di un solo computer). 4. Indicare i dettagli dei target obbligatori (cioè, nome host, IP, intervallo di IP o nome di dominio). 5. Dall elenco a discesa Scan Profile ( Profilo di scansione ) situato nella parte inferiore della finestra di dialogo, selezionare il profilo di scansione da adoperare per questa scansione di sicurezza della rete. 6. Fare clic sul pulsante OK per avviare la scansione. GFI LANguard Network Security Scanner Guida introduttiva: esecuzione di un controllo 19

28 Avvio delle scansioni di sicurezza direttamente dalla barra degli strumenti Per eseguire un controllo di sicurezza della rete direttamente dalla barra degli strumenti, procedere come segue: Schermata 12 Nuova barra degli strumenti di scansione di GFI LANguard N.S.S. 1. Dall elenco a discesa delle credenziali della barra degli strumenti di GFI LANguard N.S.S., selezionare il metodo di autenticazione da adoperare e, ove richiesto, indicare le rispettive credenziali nei campi adiacenti. Schermata 13 Nuova barra degli strumenti dei dettagli de target di GFI LANguard N.S.S. 2. Nell elenco a discesa Scan Target ( Target di scansione ), indicare i target da sottoporre a scansione (per esempio, TMJason, ,ecc.). 3. Dall elenco a discesa dei profili ( Profile ), selezionare il profilo di scansione da adoperare per questa scansione di sicurezza della rete. 4. Fare clic sul pulsante Scan (Esegui scansione) per avviare la scansione di vulnerabilità della rete. 20 Guida introduttiva: esecuzione di un controllo GFI LANguard Network Security Scanner

29 Guida introduttiva: analisi risultati scansione di sicurezza Introduzione Dopo il completamento di una scansione di sicurezza, GFI LANguard N.S.S. genera e visualizza i risultati di scansione in un'apposita finestra di dialogo all'interno dell'interfaccia di configurazione. I risultati di scansione sono organizzati per tipo in diverse categorie. L importo delle categorie dei risultati e il tipo di informazioni raccolte durante una scansione di sicurezza dipende interamente dal tipo di controlli eseguiti sui target e dai parametri configurati nel profilo di scansione utilizzato nel controllo. Di conseguenza, si otterranno diverse categorie dei risultati di scansione, per ogni diverso profilo di scansione adoperato per controllare la rete. Per maggiori informazioni sui profili di scansione, si rinvia al capitolo Profili di scansione del presente manuale. È inoltre possibile applicare dei filtri ai risultati di scansione e visualizzare unicamente determinati dettagli dei risultati di scansione. È sufficiente, appunto, applicare i Filtri di scansione ( Scan Filters ) a tali informazioni. Per maggiori informazioni sui filtri di scansione, si rinvia al capitolo Filtraggio dei risultati di scansione del presente manuale. GFI LANguard Network Security Scanner Guida introduttiva: analisi risultati scansione di sicurezza 21

30 Analisi dei risultati di scansione Schermata 14 Interfaccia di configurazione di GFI LANguard N.S.S.: analisi dei risultati di scansione Adoperare le informazioni presentate nella sezione Scanned computers" ( Computer sottoposti a scansione ), del pannello centrale, per navigare nei risultati dei computer sottoposti a scansione. I risultati della scansione di sicurezza sono organizzati in un certo numero di subnodi di categoria. Tali subnodi possono essere adoperati con facilità per indagare e identificare problemi di sicurezza nei target sottoposti a scansione. I risultati di scansione sono organizzati nelle seguenti categorie: Vulnerabilities (Vulnerabilità) Potential vulnerabilities (Possibili vulnerabilità) Shares (Condivisioni) Applications (Applicazioni) Network devices (Dispositivi di rete) USB devices (dispositivi USB) Password policy (Criteri di password) Security audit policy (Criteri di controllo della sicurezza) Registry (Registro di configurazione del sistema) Open TCP ports (Porte TCP aperte) System patching status (Stato dell applicazione di patch nel sistema) NETBIOS names (Nomi NETBIOS) Computer Groups (Gruppi) Users (Utenti) Logged on users (Utenti collegati) 22 Guida introduttiva: analisi risultati scansione di sicurezza GFI LANguard Network Security Scanner

31 Sessions (Sessioni) Services (Servizi) Processes (Processi) Remote time of day (TOD) (Orario giornaliero, in remoto) Local drives (Unità locali). Per visualizzare i dati dei risultati reperiti nel corso di una scansione di sicurezza, fare clic sulla categoria interessata. Le informazioni sono riportate nel pannello Scan Results ( Risultati di scansione ) sulla destra dello schermo. Vulnerabilità Schermata 15 Il nodo delle Vulnerabilità Fare clic sul subnodo Vulnerabilities (Vulnerabilità) per visualizzare le vulnerabilità di sicurezza identificate sul computer target. Le vulnerabilità rilevate sono raggruppate per tipo e gravità in cinque categorie principali: Missing service packs (Service pack mancanti) Missing patches (Patch mancanti) High security vulnerabilities (Vulnerabilità di sicurezza: livello alto) Medium security vulnerabilities (Vulnerabilità di sicurezza: livello medio) Low security vulnerabilities (Vulnerabilità di sicurezza: livello basso). Vulnerabilità Service pack mancanti Un Service Pack (SP) è un programma software che corregge una serie di bug noti oppure aggiunge nuove caratteristiche a sistemi operativi e applicazioni. GFI LANguard Network Security Scanner Guida introduttiva: analisi risultati scansione di sicurezza 23