www .  .  it com net org name biz info eu us tv mobi

• Homepage

• Domini

• Hosting

• Server Virtuali

• Server Dedicati

• Housing

• Azienda

• Sicurezza

• Webfarm

• Lavora con noi

• Partner

La gestione della Sicurezza

La gestione della sicurezza è oggi uno degli aspetti più cruciali per le aziende che operano nel mondo IT. Il rapido evolvere delle tecniche di attacco ed intrusione costringe gli operatori a continui aggiornamenti degli skill tecnici.

A tal riguardo la nostra strategia si articola in:

Monitoraggio degli apparati

Tutti i nostri server sono costantemente monitorati al fine di garantire

• massima efficienza (controllo performance di sistema)
• continuità di servizio (no down time)
• elevati stantard di sicurezza attiva e proattiva

Il monitoraggio delle performance di sistema e dei servizi (web, mail, ftp ...) viene eseguito in modo continuativo nell’arco delle 24 ore 7/7, verificandone lo stato ad intervalli di 5 minuti.

Nel caso di un ‘fermo’:

• sono evidenziate sulla console di controllo:
  
  • indicazione del servizio fermo
  • indicazione dell’ora del fermo
• sono intraprese le seguenti azioni:
  
  • tentativo di ripristino automatico ‘via software’
  • intervento di un tecnico se il ripristino automatico dovesse fallire
• sono generate evidenze sulla console di controllo:
  
  • registrazione l’effettivo riavvio
  • registrazione il tempo ‘di fermo’
  • archiviazione dell'azione per mantenere uno storico a fini statistici

Questo monitoraggio consente una continua visione d’insieme dello stato di tutti i servizi raggruppati per server. Inoltre, in virtù della frequenza dei controlli ogni 5 minuti, eventuali problemi sono individuati rapidamente con conseguente drastica riduzione dei tempi di disservizio.

Durante i fine settimana ed i giorni festivi, alle azioni sopra descritte si aggiunge la notifica automatica dell'anomalia via SMS al tecnico reperibile pronto ad intervenire.

Sicurezza dei sistemi

Tutti i server sono mantenuti costantemente aggiornati sotto il profilo del software. Gli aggiornamenti coinvolgono tutti i servizi direttamente utilizzati dagli utenti e quindi più soggetti ad attacchi (http, php, mysql ...), come anche tutti gli altri software presenti sulle macchine (kernel ...).
Questi interventi preventivi consentono di avere server teoricamente inattaccabili anche se un pericolo reale è spesso presente. Esso è dovuto a script installati dagli stessi utenti sui propri siti, attraverso i quali si possono verificare gli attacchi ai server. Questa è sicuramente la situazione più difficile da gestire e da monitorare.
Purtroppo nella maggior parte dei casi, gli utenti installano software che poi non vengono mai più aggiornat, tipicamente scritp in Perl o PHP (l'esempio piu' eclatante e' uno dei più diffusi software in Italia per realizzare portali: PhpNuke).

Solitamente l'utente è poco sensibile al problema ne prende coscienza solo dopo aver subito un attacco.

Appare quindi evidente come la sicurezza di un sito sia, in primo luogo, strettamente correlata al tipo di sito stesso ed al software con il quale è stato realizzato.
Un sito costituito da semplici pagine HTML è infatti meno vulnerabile agli attacchi di un sito realizzato con linguaggi PHP o ASP.

Il problema principale diventa quello di circoscrivere eventuali attacchi ed impedire che essi coinvolgano la sicurezza strutturale del server e l’integrità dei contenuti degli altri utenti presenti sulla macchina.

Questo obiettivo viene perseguito principalmente attraverso i seguenti processi:

• messa in sicurezza del software/sistema
• filtraggio del traffico
• periodiche verifiche di integrità del sistema
• costante monitoraggio dell’attività svolte sui server
• costante analisi del traffico in ingresso ed in uscita da ogni server

• Le configurazioni standard di un sistema operativo sono spesso carenti sotto il profilo della sicurezza, per cui vengono in primo luogo disattivati i servizi inutili e potenzialmente vulnerabili. Successivamente si verificano le configurazioni dei singoli servizi attivi, come ad esempio le impostazioni di criteri di sicurezza basati su gruppi e permessi di utilizzo.
• Tutti i server sono protetti da firewall che permette di decidere nel dettaglio quali porte/servizi sono abilitati a generare traffico. Il firewall, infatti, blocca il traffico verso le porte che non sono utilizzate da servizi necessari come web, mail, ecc ma anche previene attività di scansione volte ad individuare versioni e servizi in uso (attività di enumerazione)
• Al momento del set up di ogni un nuovo server viene eseguita la mappa di tutti i file presenti sul sistema. Questa “fotografia” verrà usata nel futuro come riferimento per rilevare eventuali modifiche non autorizzate su file o directory.
  L’analisi è molto dettagliata e si basa sul confronto delle dimensioni e della lunghezza dei file di sistema.
• Costante monitoraggio delle attività svolte sui server. Correlato con l’attivtà di filtraggio del traffico, il monitoraggio delle attività in corso sul server è uno degli aspetti più critici. Tutti i nostri sistemi sono configurati per inviare un’e-mail all’amministratore del sistema nel momento in cui viene rilevata un’attività illecita come ad esempio le sostituzioni di file di sistema, variazioni di permessi su file e directory o altro.
  Tale configurazione consente di avere un’immediata notifica in caso di attacco così da poter intervenire tempestivamente per l'analisi e la soluzione del problema.
• Costante analisi del traffico in ingresso ed in uscita da ogni server. Questa attività, dispendiosa sia in termini di risorse hardware sia umane è sicuramente la più importante e determinante per mantenere un sistem sicuro. Il traffico viene costantemente controllato ed ogni comportamento anomalo rilevato è registrato in un database nel quale sono memorizzati tutti i tipi di attacchi noti. Il confronto consente di conoscere con certezza ed in tempo reale se sul sistema sono in corso scansioni alla ricerca di vulnerabilità o peggio attacchi.
  L'analisi è talmente precisa che è possibile risalire non solo al sito attaccato, ma anche allo script utilizzato in modo illecito e intraprendere azioni correttive prima che tali vulnerabilità siano sfruttate.

Auditing e Monitoring della Rete

Il sistema rileva, analizza ed identifica minacce e attività, illecite o dannose, perpretrate sulla rete e soprattutto ne individua in tempo reale l'origine.

Gli obiettivi dell'Auditing e Monitoring della Rete sono:

• Rilevazione ed auditing delle attività di scan o di altri accessi anomali sulla rete (port scan, network scan, scan SNMP, query NETBIOS, browsing di computer, etc.)
• Rilevazione di attività di DoS (Denial of Service)
• Rilevazione di attività di spamming massive attraverso l'analisi del traffico sviluppato
• Individuazione di FTP server, sharing di cartelle di Windows, rilevazione di applicativi “peer to peer” per lo scambio di file MP3, DivX, pedopornografia, etc.