Re: Bloccare l'accesso ad un server W2000 (livello anche di File System)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> Enrico,
> grazie per la tua esaustiva risposta.

visto che è una mailing list di sicurezza è sempre un piacere
rispondere, poi se quel poco che conosco può essere utile a qualcuno,
va ancora meglio :-)

> Cerco di dettagliare meglio lo scenario,
> - il server è unico ed è riposto in una casetta blindata.

essendo un server unico puoi togliere tutti i componenti di rete che
non sono essenziali per il web, cominciando con NetBIOS, e andando
avanti con tutti i componenti del sistema. in poche parole installi la
macchina solo con i componenti utility che trovi dentro la parte
"accessori" tra i componenti di sistema.
se non è chiaro, vai in start/settings/control panel/add-remove
programs/add-remove windows components/accessories/utility
tutto il resto lo togli, a meno che ovviamente tu non voglia usare
qualche componente specifico del sistema
dato che per la cronaca puoi togliere anche comonenti che normalmente
il sistema nasconde,  compresi 200 mb di file dei service pack che si
tiene, più tutti i file che ci sono nel cd e che si salva in
%systemroot%\system32\dllcache che (a seconda del valore di una chiave
di registro) possono anche arrivare a 450 mb, per cui alla fine
dimezzeresti l'installazione

> - dalla cassetta blindata può essere inserita solamente il cavo di
rete e di
> alimentazione.
> - il server è configurato per fornire solamente il servizio web.
> Nessun'altro servizio è attivo.

hai presente di quante cose possono capitare a un server che fornisca
servizio su http? per fare una cosa abbastanza decente, credo che
dovresti ragionare come se ti dovessere attaccare il server da un
punto
che credi sicuro. va bene mettere ad esempio un firewall software
sulla macchina, ma nel caso andasse in crash? allora puoi usare i
filtri di IPSec per limitare ancora di più le connessioni, dato che
il pc non risponde con un reset ma fa il drop dei pacchetti
Se poi non vuoi essere ancora più paranoico ( che fa sempre bene )
potresti mettere un host ids aggiornato che filtri tutti il traffico e
lo registri, magari andando a posizionare i dati in un file crittato
messo in un punto impensabile del server.....tipo "sotto" un altro
file usando gli ADS, e che magari in corrispondenza di certi attacchi
disattivi momentaneamente il servizio

> - il server non ha utenti registrati, solamente un'utente con
permessi di
> administrator.

ecco dal mio punto di vista questo non va bene. Partiamo dal fatto che
se lasci la macchina dal cliente, basta tempo e voglia e ti possono
craccare le password, la macchina e tempestare la macchina con ogni
sorta di attacco. Poi se metti solo un accont e l'unico che usi è il
temoto administrator, dai massimi diritti a chiunque. meglio creare
un altro utente con password "impossibilmente complessa" e selezionare
solo i diritti veramente necessari all'applicazione che dovrai far
girare. anche perchè poi IIS gira come SYSTEM, che è del gruppo
administrator, e quindi con i massimi permessi concepiti dal sistema

> - il server è costantemente monitorato da un watchdog che verifica
le
> seguenti variabili/stati, in caso di errore vengono eliminati tutti
i file
> sorgenti (FILE ASP) e parte dei dati del database (non tutte le
tabelle,
> solo alcune, una tabella viene esportata sul file system e criptata
da una
> chiave con lunghezza ancora da definire):
>     - tipologia di piattaforma hardware
>     - checksum file
>     - esecuzione programma analisi log di sistema
(application,security)
>     - log accessi
>     - stato del cavo di rete

ipotizza che manchi la tensione, che succede alla macchina, si
autodistrugge? e nel caso in cui si rompa un componente? teoricamente
tutti questi fattori potrebbero poter dire "mi stanno smontando" ma se
così non fosse e dopo due giorni ti trovi la macchina distrutta perchè
una notte è mancata la luce ?
E hai considerato che se proprio uno volesse cambiarti il cavo,
potrebbe mettere un cavo "read-only" e la macchina riuscirebbe solo a
ricevere dati senza però dare il servizio?
o potrebbe connettere il cavo ad un hub e vedere come "risponde" alle
richieste per poi cercare di "imbrogliare i controlli" e che
succederebbe ?

> - il server dovrebbe rimanere sempre accesso, ad ogni avvio della
macchina
> viene incrementato un contatore. quando il contatore è pari a X
viene
> lanciata la routine di pulizia (routine descritta sopra)
> - Il server risiede sulla LAN interna del cliente. Ovviamente non
esiste
> nessun accesso alla macchina dal punto di vista terminale (ripeto
solamente
> il servizio WEB è attivo)

quindi avrai sicuramente pensato di usare iis5, magari installando iis
lockdown, aggiungendo poi urlscan ultima versione e mettendo un bel
secureiis ( www.eeye.com ) giusto per finire il condimento
e poi ovviamente mettere sulla macchina un certificato digitale e far
passare tutto in https o in ssl, così giusto per rendere la vita
difficile a chi ti sniffa il traffico, o a chi si mette in mezzo, o a
chi cerca di fingersi qualcun'altro

>
> La mia paura è che venga scardinata la cassetta blindata, a quel
punto è
> chiaro che il sistema non deve più funzionare.

mmmhh....credo che da qualche parte in america ci siano ditte che
hanno dei sensori che si attaccano alle pareti interne del case, e che
in caso di manomissione resettano elettricamente i dischi rigidi....ne
avevo sentito parlare, magari prova a cercare qualcosa di simile, ma
aspettati prezzi alti

> quello che chiedevo era se secondo voi ci sono altre contromisure da
attuare
> per rendere difficile la vita a chi vuole appropriarsi
dell'applicazione
> contenuta sull'harddisk.

usare il programma in un file "sotterrato" sotto un altro file, tipo
kernel32.exe così risulta che il sistema ha processi normali. mentre
tu stai facendo girare la tua applicazione dentro un altro file e
magari la nascondi al task manager chi accede non saprebbe dove
reperire i file in quanto non sono visibili dal sistema, ma
utilizzabili tranquillamente

> Per questo motivo ho pensato anche di fare delle modifiche hardware
sul
> server, in modo tale che qualora l'hard disk fosse estratto dal
cabinet, non
> fosse possibile installarlo su un'altro computer così facilmente.

beh....se hai voglia puoi sempre saldare l'hard-disk al cabinet e
collegarlo alla scheda madre saldando i contatti direttamente
all'attacco del bus così però potresti avere solo un hd per bus, anche
se puoi sempre prendere le schede madri con controller raid integrato,
e poi metti il raid in stripe, così chi stacca un hd si perde il
contenuto di tutti e due gli hd nel caso almeno uno dei due venisse
"casualmente cancellato"

> Il cripting del file system mi sembrava una buona idea, sempre per
lo stesso
> motivo.

criptare il file systema è sempre una buona idea. puoi salvarti dal
recupero dei dati esportando i certificati digitali per il recupero
dei file, è sempre meglio che lasciare tutto in chiaro. ci potrebbe
essere una soluzione che non ho avuto tempo di approfondire e
non so se è fattibile, ma potresti usare PGP per creare dei dischi
criptati (vedi PGP disk della versione 6.02i) così i dati li metti
tutti nel disco criptato e non sono accessibili se non immettendo la
password per aprire il disco (che è un file criptato con una chiave
fino a 4096 bit, della grandezza complessiva del disco)
il come far interagire pgp in automatico con il sistema per gestire
l'apertura e la chiusura del disco, non lo so, se hai voglia di fare
qualche ricerca, tienimi informato che mi interessa molto :-))

> Ora se avete qualche altra idea, bhe fatevi avanti :)

beh...direi che il mio contributo l'ho dato :-)

> Buon lavoro,
> Andrea.
>
PS>> mi sono dimenticato di dirvi che la cassetta blindata ha una
serie di
> sensori che verranno collegati tramite circuito elettrico e PIC
16CXX alla
> porta parallela del server. (devo ancora sviluppare entrambi i
codici PIC e
> server, cmq sarà un'altro watchdog)

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2i

iQA/AwUBPQe8gkVqSmXe/tZ/EQL+NACfTyNIQk4Vk9bsEJ+FJ2mnV3hQ23gAoMTO
z2+Z9a4/dZzZI5PyMOfiBttb
=KkTa
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List