Mese: Marzo 2017

Protezione dei files con SE-Linux

Un sistema ad accesso mandatorio, quale SE-Linux, permette di proteggere in maniera esaustiva un computer contenente files e dati sensibili. La sua gestione è però molto onerosa in quanto è necessario possedere delle solide conoscenze non solo dell’ambiente Linux, ma anche di sicurezza, sistemi mandatori e come funziona al suo interno SE-Linux. Spesso però da un lato non si necessita di tanta sicurezza, dall’altro non si dispone di sufficiente personale altamente specializzato per riuscire a gestire sistemi con dati sensibili. Questo whitepaper, basato su un caso reale, vuole illustrare una metodologia che coniuga alta sicurezza con una gestione di un ambiente unix non differente da quella tradizionale. Il documento si rivolge agli amministratori di sistema che abbiano solide basi di Linux e di sicurezza informatica, con una conoscenza di base di SE-Linux. Continua a leggere

SPNEGO

Come abbiamo accennato precedentemente, le GSSAPI foriniscono un set di API generiche che si astraggono dal meccanismo di autenticazione sottostante. Quando due applicazioni parlano tra loro attraverso le GSSAPI e sfruttano lo stesso meccanismo di autenticazione, si dice che hanno stabilito un contesto di sicurezza (security context). Il problema di questo meccanismo è che le due entità devono sapere a priori quale meccanismo di autenticazione hanno a disposizione e quindi quale possono usare: GSSAPI non prevede un meccanismo di “handshake” tra i due peer per sapere quale meccanismo di sicurezza hanno in comune e stabilire quindi un security context.

Il Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) è stato creato appositamente per determinare, durante una connessione tra due peer, quali sono i meccanismi di autenticazione disponibili e selezionare il miglior meccanismo comune. SPNEGO viene usato in Windows 2000 per negoziare quali sono i meccanismi di Continua a leggere

GSSAPI

Anche se non fanno parte direttamente del protocollo Kerberos, descrivere le GSSAPI è propedeutico alla comprensione del resto del libro.

Le Generic Security Service Application Programming Interface  sono un framework che fornisce servizi di sicurezza alle applicazioni.

Lo scopo della nascita delle GSSAPI era creare un “abstraction layer” attraverso delle API standard per l’autenticazione, in modo che ogni programma potesse implementare l’autenticazione astraendosi dal sistema di autenticazione sottostante. Continua a leggere

SAN

Spesso in questi anni abbiamo notato una mancanza di attenzione in fase progettuale verso le problematiche della sicurezza. In generale, uno dei principali aspetti causa dei problemi di sicurezza sono le impostazioni di default: per facilitare gli utenti, molti prodotti sono impostati in modalita’ “plug and play”, ovvero preconfigurati con impostazioni generiche che vadano bene per tutti gli ambienti. Ad esempio, nell’ambito delle Wireless LAN, i produttori hanno privilegiato la facilità d’uso a discapito della sicurezza. Di conseguenza è stato necessario porre rimedio a posteriori su sistemi già installati e in produzione, intervenendo sia in ambito architetturale che di configurazione. Questi interventi tardivi richiedono maggiori investimenti di quanto richiesto dall’introduzione della sicurezza in fase progettuale. Continua a leggere

1 2 3