1.9. Sicurezza
Il Dipartimento ha approvato da tempo una Politica di Sicurezza per i sistemi delle Segreteria Ammi.va. Questi sistemi sono protetti mediante firewall. Non esiste invece una Politica di Sicurezza per il resto della rete dipartimentale. In mancanza di questa sono state adottate una serie di protezioni basate sul "buon senso", nel tentativo di ridurre il rischio di intrusione sui sistemi.
Le successive sezioni descrivono le caratteristiche essenziali della "Politica di Sicurezza" per il Dipartimento
1.9.1. Protezione degli accessi
Connessioni uscenti (Da Rete Locale a Internet): nessuna limitazione
Connessioni entranti (Da Internet a Rete Locale): vengono trattate in modo differente in base al servizio (porta). In particolare per tutti gli host sono abilitati i seguenti servizi (porte):
Tabella 1-7. Connessioni entranti
Servizio Porta Protocollo ssh 22 tcp http 80 tcp https 443 tcp telnet 23 tcp Windows Remote Desktop 3389 tcp altri servizi : È possibile, per specifiche esigenze, richiedere l'abilitazione di alcuni servizi (porte). La richiesta va inviata all'indirizzo help@di.unipi.it indicando: Nome della macchina, servizio, porta/protocollo, sorgente. Ad esempio:
Nome del sistema: nomesistema Servizio: Mysql Porta: 3306/tcp, 3306/udp Sorgente: 131.114.x.x Nome del sistema: nomesistema Servizio: Real Time Stream Control Protocol (rtsp) Porta: 554/tcp Sorgente: any
Se possibile è consigliato specificare una sorgente per diminuire i potenziali rischi di intrusione.
Connessioni entranti (livello di Ateneo- Rete Universitaria): questa parte viene gestita dal Centro Serra. Attualmente sono bloccati i seguenti servizi (porte):
Questi servizi possono quindi transitare all'interno della Rete di Ateneo ma vengono bloccati se provenienti dall'esterno.Tabella 1-8. Servizi bloccati
Servizio Porta Protocollo netstat 15 tcp finger 79 tcp link 87 tcp supdup 95 tcp pop2 109 tcp news 144 tcp exec 512 tcp openwin 2000 tcp bootp 67/68 udp tftp 69 udp snmptrap 162 udp biff 512 udp printer 515 udp route 520 udp radius-old 1645/1646 udp echo 7 tcp/udp systat 11 tcp/udp daytime 13 tcp/udp quotd 17 tcp/udp chargen 19 tcp/udp time 37 tcp/udp tacacs 49 tcp/udp nbios-ns 137 tcp/udp nbios-dgm 138 tcp/udp nbios-ssn 139 tcp/udp netware-ip 396 tcp/udp timed 525 tcp/udp mountd 635 tcp/udp wins 1512 tcp/udp nfs 2049 tcp/udp
Tutte le informazioni riguardanti le porte ufficiali assegnate ai servizi Internet sono disponibili presso la Internet Assigned Numbers Authority
1.9.2. Antispoofing
La funzionalità antispoofing impedisce che il traffico in ingresso/uscita sia volontariamente "camuffato" per aggirare le regole di filtraggio. Opera in due sensi:
Dall'interno verso l'esterno impedisce l'uscita dei pacchetti con source address non appartenente alla sottorete ufficialmente assegnata al Dipartimento (131.114.2.0/23)
Dall'esterno verso l'interno impedisce l'ingresso dei pacchetti con source address appartenente alla rete del Dipartimento
Si tratta dunque di una misura che non ha alcun effetto sul normale utilizzo dei servizi.
1.9.3. Antirelay
La funzionalità antirelay riguarda il servizio di posta elettronica ed è utile ricordare che è una forma di controllo ormai obbligatoria. Non adottarla significa infatti avere la certezza di essere individuati e classificati come potenziali fonte internazionale di spam. In questo caso la conseguenza è l'impossibilità di comunicare via posta elettronica con tutti i domini Internet che adottano l'antirelay (e sono ormai la maggiornaza).
La funzione antirelay impedisce a tutti gli indirizzi internet non esplicitamente autorizzati l'uso dei server SMTP (sendmail) per spedire a destinatari non appartenenti al/ai dominio/i e-mail di propria competenza. Non interessa invece la lettura della mailbox mediante i protocolli pop, imap (o i corrispondenti spop, simap) che è disponibile (previa autenticazione) per tutti i sistemi interni ed esterni.
Nella configugurazione del server smtp del Dipartimento la funzionalità di relay è garantita agli indirizzi della rete locale e al resto degli indirizzi internet mediante l'uso dell'autenticazione (vedi smtp.di.unipi.it con autenticazione )
1.9.4. Connessioni sicure (comandi s*)
1.9.4.1. Sistemi Linux
Su tutte le distribuzioni Linux sono presenti i comandi s* (ssh, slogin, scp) che consentono di effettuare collegamenti e copie di file in modo sicuro (criptato). I comandi sostituiscono i vecchi r* (rsh, rlogin, rcp) e telnet.
1.9.4.2. Sistemi Windows
È disponibile il tool Putty, un client ssh/telnet/rlogin. Per installarlo sul vostro PC è sufficiente scaricarlo da PuTTY Download Page
1.9.4.3. Sistemi MacOsX
È disponibile di default il tool ssh .Per connettersi via ssh al Mac è necessario attivare il servizio:
Aprire System Preferences
Selezionare Sharing e attivare Remote Login
1.9.5. Personal Firewall
La complessità delle esigenze legate alle attività del Dipartimento rende difficile perfezionare una politica di sicurezza realmente efficace. In mancanza di una deguata protezione centralizzata è consigliabile l'uso di firewall personali, come ad esempio accade automaticamente sui sistemi Windows XP aggiornati al Service Pack 2. Per i sistemi Linux Fedora è ora possibile attivare protezioni basate su Firewall (iptables) e SELinux. Per ulteriori dettagli si rimanda alla sezione Livello di sicurezza della Guida di installazione e alla documentazione Microsoft Understanding Windows Firewall
| L'uso di firewall personali non crea normalmente alcun problema sui sistemi client ma può complicare notevolmente la corretta configurazione dei sistemi server. |