FIXME: Trattazione da integrare
Debian offre anche molti strumenti per la sicurezza, tali da garantire una configurazione ottimale della postazione. Questi comprendono la protezione dei sistemi di informazione mediante firewall (a livello sia di pacchetti, sia di applicazioni), la ricerca delle intrusioni (basata sia su rete, sia su singoli host), la valutazione dei punti deboli e poi, antivirus, reti private, ecc..
A partire da Debian 3.0 (woody), la distribuzione è caratterizzata da software specifico per la crittografia integrato nella distribuzione principale. OpenSSH e GNU Privacy Guard sono inclusi nell'installazione predefinita e già adesso i browsers, i server di rete, i database e via dicendo, presentano un potente sistema di cifratura. Per le future versioni è già pianificata un'ulteriore integrazione della crittografia. Questo tipo di software, per essere esportato, viste alcune limitazioni negli Stati Uniti, non è stato diffuso con la distribuzione principale, ma è stato incluso nei siti non-US.
Gli strumenti forniti da Debian per valutare le vulnerabilità da remoto sono: [28]
nessus
- composto da un client (nessus
), usato come
interfaccia GUI e da un server (nessusd
), che lancia gli attacchi
programmati è, di gran lunga, il più completo e aggiornato. Conosce i punti
deboli di un numero consistente di sistemi contenenti applicazioni di rete,
server ftp, server www, ecc.. Le ultime versioni sono in grado di analizzare
un sito web e provare a scoprire quali, fra le pagine disponibili, potrebbero
essere attaccate. Ci sono anche dei client Java e Win32 (non inclusi in
Debian), utilizzabili per contattare il server dell'organizzazione aziendale.
Whisker
, scansionatore per la valutazione di vulnerabilità
dedicato solo al web, presenta tattiche anti-IDS (la maggior parte delle quali
non è più solamente anti-IDS) ed è uno dei migliori scansionatori cgi:
può scoprire un server WWW e lanciarvi contro solo una determinata tipologia di
attacchi. Il database usato per la scansione è facilmente modificabile, al
fine di ottenere nuove informazioni.
Bass
(Bulk Auditing Security Scanner - Scansionatore per verifiche
di sicurezza) e Satan
(Security Auditing Tool for Analysing
Networks - Strumento di verifica della sicurezza per l'analisi di reti) devono
essere considerati come programmi dimostrativi di un concetto, piuttosto che
veri e propri strumenti di verifica; entrambi sono alquanto datati e non
aggiornati (SATAN, però, è stato il primo strumento semplice (GUI) per il
controllo delle vulnerabilità e Bass dà ancora prestazioni molto elevate).
Debian fornisce alcuni mezzi dedicati alla scansione di host da remoto (ma non anche della verifica delle vulnerabilità) che, in certi casi, possono essere usati come scansionatori per un primo tipo di "attacco", volto a determinare i servizi dell'host remoto disponibili. Al momento Debian fornisce:
netdiag
)
Mentre queso
e xprobe
offrono solo l'esame da remoto
del sistema operativo (usando TCP/IP fingerprinting), nmap
e
knocker
svolgono sia l'esame del sistema operativo, sia la
scansione delle porte dell'host remoto. D'altra parte, per le tecniche di
attacco basate su ICMP da remoto si possono usare hping2
e
icmpush
.
Progettato specificamente per reti di tipo Netbios, nbtscan
viene
impiegato per scansionare le reti IP e per recuperare informazioni riguardo ai
nomi (fra cui: nomi degli utenti, nomi della rete, indirizzi di tipo MAC...)
dai server su cui sia abilitato SMB.
Infine, per rilevare intrusioni nella rete e verificare se i NIDS possano
essere aggirati da attacchi mediante frammentazione, si può usare
fragrouter
.
FIXME: Controllare se il Bug
#153117
(ITP fragrouter) sia incluso.
FIXME: aggiungere informazioni basate su Debian Linux Laptop for Road
Warriors
, che descrive come usare Debian ed un portatile per
scansionare reti wireless (senza fili) (803.1).
Al momento solamente il tool chiamato tiger
può essere usato per
effettuare un controllo interno (chiamato anche cassetta bianca) degli hosts
per controllare se il file system è configurato in modo appropriato, quali
processi sono in ascolto nell'host, etc.
Debian mette a disposizione tre pacchetti che possono essere usati nella revisione dei sorgenti C/C++ e nella ricerca di errori di programmazione che potenzialmente possono essere considerati problemi per la sicurezza:
Un network privato virtuale (VPN) è un gruppo di due o più computer che hanno tra di loro una connessione privata con un limitato accesso pubblico, VPN permette la connessione tra un singolo computer e una rete privata (client-server), oppure tra una LAN remota ad una rete privata (server-server). VPN include la possibilità di cifrare e autenticare in modalità sicura utenti remoti, oppure hosts e metodi per nascondere la configurazione della rete.
Debian mette a disposizione alcuni pacchetti per configurare correttamente una rete privata cifrata:
vtun
tunnelv
cipe
vpnd
tinc
secvpn
pptpd
freeswan
Il pacchetto FreeSWAN probabilmente è la miglior scelta tra tutte quelle proposte, può essere usato da chiunque usi il protocollo di sicurezza IPsec (RFC 2411). Comunque gli altri pacchetti presenti nella lista possono aiutare a creare facilmente un tunnel. Il point to point tunneling protocol (PPTP) è un protocollo per VPN di proprietà della Microsoft. Viene supportato da Linux, ma sono noti seri problemi riguardanti la sicurezza.
Per ulteriori informazioni leggete il VPN-Masquerade
HOWTO
(copre sia IPsec che PPTP), il VPN HOWTO
(copre PPP
su SSH) il Cipe
mini-HOWTO
ed il PPP and SSH
mini-HOWTO
.
Se volete avere un tunnel sicuro tra sistemi operativi differenti (nello stesso
tempo sistema operativo Microsoft e clienti LINUX) e che IPsec non sia un
opzione (è il solo fornito per Windows 2000 e Windows XP), dovrete usare
PoPToP (server tunneling punto punto), presente nel pacchetto
pptpd
.
Se volete usare l'autenticazione e criptazione di Microsoft messa a
disposizione dal pacchetto ppp
, leggete questo estratto tratto
dalle FAQ:
È necessario l'uso di PPP 2.3.8 se volete una completa compatibilità con il protocollo di autenticazione e criptazione MSCHAPv2/MPPE. La ragione di questo è che la patch MSCHAPv2/MPPE attualmente disponibile (19990813) ha dei conflitti con versioni diverse dalla 2.3.8. Se non avete bisogno di avere completa compatibilità con i protocolli di autenticazione e criptazione, qualsiasi versione della serie 2.3 di PPP va bene.
Comunque, dovete anche applicare una patch al kernel, presente nel pacchetto
kernel-patch-mppe
, che mette a disposizione il modulo pp-mppe per
pppd.
Avere un account cifrato con ppptp vi obbliga a conservare le passwords in
chiaro, senza cifratura e nel protocollo MS_CHAPv2 sono presenti buchi di sicurezza
conosciuti
.
L'infrastruttura a chiave pubblica (PKI) è un'architettura di sicurezza introdotta per fornire un maggior livello di confidenza nello scambiarsi informazioni tramite una rete insicura. Fa uso del concetto di chiavi pubbliche e private per verificare l'identità del mittente (firma) e per assicurare la privacy (crittografia).
Nel prendere in considerazione una PKI ci si trova davanti a una serie di punti:
Debian GNU/Linux ha pacchetti che aiutano alcuni di questi compiti PKI.
Includono OpenSSL
(per la generazione delle certificazioni),
OpenLDAP
(come directory in cui tenere le certificazioni),
gnupg
e freeswan
(con il supporto per lo standard
X.509). Comunque, con il rilascio di Woody (Debian 3.0), Debian non supporta
nessuna delle Autorità Certificatrici disponibili liberamente, come pyCA,
OpenCA
o esempi di CA da
OpenSSL. Per maggiori informazioni leggete il libro sull'Open PKI
.
Debian fornisce alcune certificazioni SSL con la propria distribuzione, così
che possano essere installate localmente. Si trovano nel pacchetto
ca-certificates
. Questo pacchetto fornisce un deposito locale di
certificazioni che sono state inviate a Debian e approvate (ossia verificate)
dal manutentore del pacchetto, utili per applicazioni OpenSSL che verifichino
le connessioni SSL.
FIXME: leggere debian-devel per vedere se ci sono aggiunte.
Non ci sono molti antivirus in Debian GNU/Linux, probabilmente perché gli utenti GNU/Linux non sono danneggiati dai virus. Il modello di sicurezza degli UN*X fa distinzione tra i processi privilegiati (root) ed i processi utente, quindi un eseguibile "ostile" che un utente non-root riceve o crea ed esegue non può infettare o manipolare l'intero sistema. Comunque, i worms per GNU/Linux ed i virus esistono, anche se non ce n'è nessuno (beh, speriamo) che si sia diffuso a macchia d'olio in una distribuzione Debian. In ogni caso, gli amministratori potrebbero voler mettere su dei gateway antivirus che proteggano dai virus altri sistemi più vulnerabili che fanno parte della loro rete.
Attualmente Debian GNU/Linux fornisce i seguenti strumenti per realizzare ambienti antivirus:
Clam Antivirus
,
fornito in Debian sarge (la futura versione 3.1). Vengono forniti
pacchetti per il virus scanner (clamav
), per il demone di analisi
(clamav-daemon
) e per i file di dati dello scanner. Dato che
tenere aggiornato un antivirus è fondamentale per farlo funzionare
correttamente ci sono due modi di prendere questi dati:
clamav-freshclam
fornisce un modo per aggiornare il database
automaticamente attraverso Internet e clamav-data
che fornisce il
file di dati direttamente. [29]
mailscanner
è un e-mail gateway con virus scanner e controllo
dello spam. Usando sendmail
o Exim
come sua base,
può usare fino a 17 diversi motori di ricerca di virus (incluso
clamav
)
libfile-scan-perl
che fornisce File::Scan, una estensione Perl per
la scansione dei file per cercare virus. Questo modulo può essere usato per
fare unop scanner indipendente dalla piattaforma.
Amavis Next
Generation
, fornisce il pacchetto amavis-ng
ed è
disponibile sarge, è uno scanner per email che si integra con diversi
MTA (Exim, Sendmail, Postfix o Qmail) e supporta più di 15 motori di scansione
(inclusi clamav, File::Scan e openantivirus).
sanitizer
, uno
strumento che usa ilpacchetto procmail
, che può esaminare gli
allegati delle email, bloccare allegati in base al loro nome ed altro.
amavis-postfix
, uno
script che fornisce un'interfaccia da un mail transport agent ad uno o più
antivirus commerciali (questo pacchetto viene fornito con il solo supporto per
l'MTA postfix
).
exiscan
, un virus scanner per e-mail scritto in Perl che lavora
con Exim.
sanitizer
, uno scanner per email che può rimuovere gli allegati
potenzialmente dannosi.
blackhole-qmail
un filtro per spam per Qmail con supporto
integrato per Clamav.
Alcuni gateway con supporto per strumenti esterni per costruire un ambiente
antivirus sono: exim4-daemon-heavy
(la versione pesante
dell'MTA Exim), frox
(un proxy trasparente ftp con cache),
messagewall
(un proxy SMTP) e pop3vscan
(un proxy
traparente POP3).
Come potete vedere, Debian non fornisce un antivirus attualmente nella
distribuzione ufficiale (3.0 al momento in cui scriviamo) ma fornisce molte
interfaccie per costruire un gateway antivirus. Il pacchetto
Clamav
verra fornito con la prossima versione ufficiale.
Altri progetti di software libero antivirus che potranno essere inclusi nella futura versione di Debian GNU/Linux:
C'è anche un pacchetto virussignatures
che fornisce le signature
di tutti i pacchetti e uno script per scaricare le ultime signature dei virus
da http://www.openantivirus.org/latest.php
.
FIXME: Controllare se adesso sono disponibili pacchetti antivirus. Clamav è disponibile? (Vedere se ne è stato fatto un pacchetto Debian).
FIXME: Controllare se scannerdaemon non sia in realtà lo scannerdaemon dell'open antivirus (leggere ITPs).
Comunque Debian non fornirà mai antivirus commerciali come ad esempio
Panda
Antivirus
, NAI
Netshield (uvscan)
, Sophos
Sweep
, TrendMicro
Interscan
, o RAV
. Per indicazioni maggiori,
vedete la Linux
antivirus software mini-FAQ
. Questo non significa che questo
software non possa essere installato opportunamente su un sistema Debian.
Per maggiori informazioni su come realizzare un sistema di individuazione dei
virus, leggete l'articolo di Dave Jones Building an E-mail
Virus Detection System for Your Network
.
Oggigiorno la firma digitale e a volte, la cifratura delle e-mail, sono molto diffuse: per esempio, molte persone che partecipano a mailing list (gruppi di discussione a mezzo e-mail) firmano le proprie mail verso la lista. Le firme a chiave pubblica sono gli unici mezzi per verificare che un'e-mail sia stata spedita proprio dal mittente e non da qualcun altro.
Debian GNU/Linux offre un certo numero di clienti, dotati di funzioni
incorporate per la firma delle e-mail, che interagiscono sia con
gnupg
, sia con pgp
:
Evolution
.
mutt
.
kmail
.
sylpheed
: a seconda di come si evolve la versione stabile di
questo pacchetto, potrebbe essere necessario usare sylpheed-claws
,
ovvero la sua "versione in sviluppo".
gnus
, che, se installato con il pacchetto mailcrypt
,
è una interfaccia di emacs
per gnupg
.
kuvert
, che offre questa funzionalità, indipendentemente
dall'agente di posta dell'utente (MUA), mediante l'interazione con l'agente di
trasporto della posta (MTA).
I Key server (server delle chiavi) permettono di scaricare chiavi pubbliche
conclamate, in modo da poter verificare le firme. Uno di questi è http://wwwkeys.pgp.net
.
gnupg
può rilevare automaticamente le chiavi pubbliche non ancora
comprese nel proprio "portachiavi". Ad esempio, per configurare
gnupg
affinché utilizzi il server di chiave menzionato, dovrete
modificare il file ~/.gnupg/options
ed aggiungere la seguente
riga: [30]
keyserver wwwkeys.pgp.net
La maggior parte dei server di chiavi è collegata, in modo che quando viene
aggiunta su uno di essi una chiave pubblica, tale aggiunta è riprodotta su
tutti gli altri. C'è anche un pacchetto Debian GNU/Linux,
debian-keyring
, che fornisce tutte le chiavi pubbliche degli
sviluppatori Debian. I portachiavi di gnupg
sono installati nella
cartella /usr/share/keyrings/
.
Per maggiori informazioni:
Securing Debian Manual
Version: 2.97, Fri, 03 Dec 2004 23:31:57 +0000jfs@debian.org