1 AUDITING DEI SISTEMI DI POSTA ELETTRONICA PRIMA
- Slides: 13
1 AUDITING DEI SISTEMI DI POSTA ELETTRONICA PRIMA FASE: DEFINIZIONE DELLA PROCEDURA, POLITICHE DI SICUREZZA Ombretta Pinazza, per il gruppo di lavoro Mailing Fulvia Costa, Francesco Ferrera, Diego Leanza, Alessia Spitaleri
Traccia della presentazione 2 Descrizione del progetto Verso una procedura di auditing Punto di partenza Metodologia Primi risultati Stato del servizio Feedback dalle sedi Conclusioni Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Auditing 3 Controllo di un sistema, effettuato in modo tale da permettere di confrontare le attività svolte sul sistema analizzato con le politiche e le procedure stabilite al fine di determinare la loro conformità, suggerendo eventualmente l'opportunità di introdurre delle migliorie Politiche Verifiche Confronto Migliorie Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Fasi dell’Auditing 4 Il processo di auditing di un sistema informatico deve essere sistematico e documentato; generalmente si compone dei seguenti passi: �Analisi dei rischi �Definizione degli obiettivi �Pianificazione �Raccolta evidenze �Conclusioni e raccomandazioni �Rapporto di Audit Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Descrizione del progetto 5 Obiettivo Capire meglio le politiche comuni Contribuire al progetto auditing@sicurezza Risultati Istantanea dei servizi di posta esistenti Identificati e risolti problemi di configurazione e di sicurezza Punto di partenza per la definizione di politiche comuni Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Procedura/Metodologia 6 Individuazione dei nodi di nostro interesse scan Nmap delle reti assegnate ad ogni sede Interrogazione MX sui DNS Analisi dei servizi rilevati Script tcl generano una connessione al nodo e memorizzano ogni passaggio della connessione Script perl aprono una connessione in ssl o con starttls SMTP, SMTP/SSL, STARTTLS, SMTP AUTH POP, POPS, IMAPS Altri servizi (HTTP, HTTPS, LDAP) Report modulari sul web/afs suddivisi per sedi Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Evoluzione 7 Procedura sistematica � Ridefinizione dell’insieme di nodi da controllare �Generazione di report automatici Prossima versione SW � Integrazione dei diversi script � Approfondimento dell’analisi di alcuni servizi Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Risultati 1 8 Confronto con gli anni precedenti Censimento 2007 2008 Scan 2009 Numero di nodi 71 80 150 Media per sede 2. 7 3. 1 4. 4 Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Risultati 2 9 Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Risultati 3 10 34 Sedi INFN 150 Nodi in totale 22 (64%) SMTP AUTH 55 MX ufficiali 11 (32%) SMTP/SSL su 465 77 Servizi SMTP Vulnerabili o malconfigurati 14 (41%) 35 (23%) 7 (21%) 10 (7%) 13 (38%) 4 (3%) Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Conclusioni 11 Feedback buono: almeno 25 sedi (il 74%) hanno guardato il proprio report molti hanno segnalato errori altri sono subito intervenuti sul proprio sistema è una base di partenza per la procedura di auditing dei sistemi di posta Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
12 Ringraziamenti, domande e discussione Grazie a Fulvia Costa, Franco Ferrera, Diego Leanza e Alessia Spitaleri Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Discussione 13 Spunti per la discussione � Reti assegnate: mix fra domini INFN, CNR, Dipartimenti, … � Politiche comuni per SMTP AUTH? � Controllo porta 25 in/out � Archiviazione dati auditing e visibilità Workshop CCR e INFN-GRID, Palau, 11 -15 maggio 2009
Ifta audit manual
Auditing through the computer
Prima battaglia dei laghi masuri
Prima battaglia dei laghi masuri
Linea dei numeri interi
Fisica dei sistemi complessi cos'è
Modellizzazione dei sistemi energetici
Dinamica dei sistemi
Equilibrio di nash
Momento torcente
Ludovica adacher
Pentagono esagono ettagono ottagono ennagono decagono
Agnus dei qui tollis peccata mundi, miserere nobis
La marcia dei diritti dei bambini testo da stampare
