GFI LANguard Network Security Scanner 7 (N.S.S.)
> Scritto da Samuel Zilli il giorno 09/06/2006
 1 - Introduzione

  La sicurezza informatica è oggi un tema di stretta attualità, tanto che se da un lato cresce il numero di virus e di attacchi informatici, dall'altro vi è ormai una grande offerta di software e sistemi hardware dedicati alla sicurezza dei computer, soprattutto dagli attacchi via Internet.

Ma la possibilità di attacchi ad una rete di computer che provengano dall'esterno non è l'unico rischio per i nostri dati. Molti degli atti compiuti da hacker e da malintenzionati avvengono dall'interno delle reti (soprattutto di quelle di grandi dimensioni), quando perciò i firewall e gli altri strumenti analoghi non possono fare niente per impedirlo. Secondo un'indagine del 2005 sul crimine informatico dell'FBI, infatti, il 44% delle organizzazioni ha riportato intrusioni nella rete dall'interno delle loro stesse aziende.

La causa prima del successo di queste azioni, sia che provengano dall'esterno che dall'interno della rete, è quasi sempre una scarsa protezione ed amministrazione della rete stessa e dei suoi PC.
In effetti non è sempre facile gestire molte postazioni di lavoro, magari diverse tra loro e dislocate in differenti piani o edifici. A volte poi non è nemmeno semplice individuare tutte le possibili falle e malfunzionamenti presenti nella rete, a maggior ragione se l'amministratore non è particolarmente esperto.

Per venire incontro ai problemi degli amministratori di rete, quindi, in questi anni sono stati proposti degli strumenti che permettono di automatizzare i controlli della rete, ed eventualmente segnalare e/o risolvere i problemi riscontrati.

Abbiamo provato un software di questo tipo, il pluripremiato GFI LANguard Network Security Scanner 7 (LANguard N.S.S. 7), distribuito in Italia da GFI Software Italia.


 2 - Descrizione - parte prima

  GFI LANguard Network Security Scanner (N.S.S.) fa parte della gamma di software sulla sicurezza di GFI.
Si tratta di un programma che sostanzialmente permette di controllare la propria rete informatica per trovare tutti i problemi (falle del sistema operativo, porte aperte, ecc.) che potrebbero essere sfruttati da hacker e malintenzionati per attaccarla.

LANguard N.S.S. permette di controllare tutta la rete, IP dopo IP, analizzando i sistemi operativi ed i software in esecuzione nei vari computer identificandone le eventuali debolezze, permettendo così di porvi rimedio prima che possano essere sfruttate da qualcuno.
Tra gli elementi controllati dal N.S.S. vi sono le patch di sicurezza ed i service pack del S.O. mancanti, condivisioni di rete e porte aperte, account di utenti inutilizzati, password deboli (weak), servizi e applicazioni attive, chiavi di registro, access point wireless, dispositivi USB e molto altro.
Gli elementi potenzialmente pericolosi che vengono rilevati possono essere filtrati secondo i propri criteri e organizzati in rapporti personalizzabili, che saranno il punto di partenza per attuare le necessarie contromisure (ad es. chiudendo porte o servizi non necessari, installando le patch mancanti, ecc.).

Ma LANguard N.S.S. si distingue da altri prodotti analoghi perchè oltre alle funzionalità di scansione ed analisi integra anche un completo sistema di gestione delle patch del sistema operativo e delle applicazioni (limitatamente a quelle supportate). Al termine della scansione, infatti, N.S.S. può distribuire da remoto le patch e i service pack mancanti, semplificando molto il lavoro degli amministratori di sistema. Inoltre può essere utilizzato anche per la distribuzione di software personalizzato.

Ovviamente, è previsto lo scaricamento automatico dal sito di GFI degli aggiornamenti per quanto riguarda le vulnerabilità gestite da LANguard NSS.


 3 - Descrizione - parte seconda

  Caratteristiche principali di GFI LANguard N.S.S. 7.0:

  • Scopre servizi pericolosied apre porte TCP e UDP.
  • Individua CGI, DNS, FTP, Posta, RPC e altre vulnerabilità conosciute.
  • Rileva dispositivi wireless.
  • Individua il file Rogue oppure utenti back door
  • Individua condivisioni aperte ed elenca coloro che hanno accesso a tali condivisioni insieme alle rispettive autorizzazioni.
  • Elencazione di gruppi, compresi i membri del gruppo.
  • Elencazione di utenti, servizi, ecc.
  • Elencazione di dispositivi USB.
  • Elencazione di dispositivi di rete e identificazione del tipo di dispositivo (cablato, wireless, virtuale)
  • Può effettuare Scansioni pianificate.
  • Aggiorna automaticamente i controlli di vulnerabilità della Sicurezza.
  • Capacità di individuare hotfix e service pack mancanti nel sistema operativo.
  • Capacità di individuare hotfix e service pack mancanti nelle applicazioni supportate.
  • Capacità di salvare e caricare i risultati di scansione.
  • Capacità di eseguire confronti tra scansioni e apprendere nuovi possibili punti di entrata.
  • Capacità di applicare patch al sistema operativo (sistemi Windows in lingua inglese, francese, tedesca, italiana, spagnola), ad applicazioni Office (in lingua inglese, francese, tedesca, italiana, spagnola), a Microsoft Exchange e a Microsoft SQL Server.
  • Identificazione del sistema operativo e individuazione del live host.
  • Esportazioni in database, HTML, XSL e XML.
  • Controllo di SNMPe MS SQL.
  • Compatibile con il linguaggio di scritp VBscript per realizzare controlli di vulnerabilità personalizzati.
  • Modulo SSH che consente l’esecuzione di script di sicurezza su macchine Linux e Unix.
  • Scansione di più computer contemporaneamente.

I componenti che compongono LANguard N.S.S. 7.0 sono:

  • GFI LANguard Network Security Scanner, ovvero l'interfaccia utente principale, da cui avviare le operazioni ed effettuare le configurazioni;
  • GFI LANguard N.S.S. Attendant service, cioè il servizio che esegue le scansioni pianificate della rete e impieghi programmati delle patch. Funziona in background;
  • GFI LANguard N.S.S. Patch Agent service, servizio che è messo in funzione sulle macchine target sulle quali devono essere installati una patch, un service pack o un software e si occupa dell’effettiva installazione della patch, del service pack o del software;
  • GFI LANguard N.S.S. Script Debugger, modulo per scrivere/correggere script personalizzati creati;
  • GFI LANguard N.S.S. Status Monitor, modulo per monitorare lo stato delle scansioni pianificate e gli aggiornamenti software correnti. È inoltre possibile arrestare operazioni pianificate che non sono ancora state eseguite.

  •  4 - Installazione

      


    L'installazione di LANguard N.S.S. 7 è abbastanza semplice e non richiede particolari competenze. Richiede un sistema operativo Windows 2000, XP o 2003, con IE 5.01 o successivi.


    Vengono richiesti il nome dell'acquirente ed il codice di attivazione. In mancanza è possibile utilizzare il software in modalità “di valutazione”, ovvero viene consentito l'accesso a tutte le funzioni del programma per un periodo di prova di alcuni giorni. La versione di prova si può scaricare direttamente dal sito di GFI.


    Vengono poi richiesti il nome utente e la password di un account amministratore, necessari a LANguard NSS per effettuare le necessarie operazioni.


    Viene quindi richiesto di scegliere il terminale database per il database GFI LANguard N.S.S. La scelta più semplice è ovviamente MS Access, che non richiede software installati o ulteriori configurazioni. Se si opta per MS SQL Server (raccomandato per grandi reti), questo dovrà essere già installato nel PC, e il setup chiederà le credenziali di accesso al database.


    Proseguendo, vengono richiesti l’indirizzo email di un amministratore ed il nome del server di posta. Tali impostazioni verranno utilizzate per inviare messaggi amministrativi di allerta o i report delle scansioni automatiche pianificate dall'utente.


    Ovviamente viene lasciata all'utente la possibilità di decidere il percorso dove salvare il software. L'occupazione è abbastanza contenuta (circa 40MB).


    Viene infine richiesto quali sono le lingue per le quali gestire le patch del sistema operativo.


    Al termine di queste procedure, partirà l'installazione vera e propria che in poche decine di secondi renderà disponibile il software.

    Una nota: al termine dell'installazione viene creata un'apposita cartella nel menù Programmi di Windows, ma non vi è un'icona per una eventuale disinstallazione, che va quindi effettuata dal Pannello di Controllo. In ogni caso, quando si installa una versione aggiornata del software, viene automaticamente disinstallata la vecchia versione.

     5 - Utilizzo - parte prima

      


    All'avvio del software LANguard N.S.S., questo si collega tramite Internet con il server di GFI per scaricare gli aggiornamenti necessari, visualizzando poi un report sintetico.


    In questo modo il software sarà sempre in grado di rilevare anche le ultime vulnerabilità scoperte.


    Lanciando la voce “LANguard Network Security Scanner 7.0” dal menù Programmi, si avvia l'interfaccia utente di LANguard N.S.S., ovvero l'interfaccia principale del prodotto.
    E' divisa in due parti principali: la parte sinistra contiene i tools e i comandi di configurazione, mentre la parte destra è informativa e mostra i risultati delle scansioni, le informazioni raccolte, i log, ecc.

    La prima cosa che si può fare con LANguard N.S.S. è ovviamente una scansione dei PC presenti nella rete!

    Avviandola dal menù File -> Nuovo, possiamo decidere di eseguire una scansione di un singolo computer, specificandone il nome di rete o l'indirizzo IP, oltre al tipo di scansione da effettuare:


    Una scansione più utile ad un amministratore di sistema è la scansione di un certo range di indirizzi. Verranno scansiti tutti i PC e dispositivi di rete che hanno indirizzi IP compresi nel range specificato:


    Una funzione più potente, che farà certamente felici gli amministratori di reti, è la scansione di una lista di computer. La lista di PC da esaminare può essere composta in modo intuitivo per via grafica, semplicemente selezionando ad uno ad uno o a gruppi i PC:


    oppure importando direttamente una lista pronta (preparata ed esportata in precedenza):


    Altre possibilità di scansione sono la scansione di un intero dominio Windows specificato e la scansione di una lista di PC “preferiti” impostata in precedenza.

    Si può anche effettuare una scansione “fuori sede” (Off Site), cioè da un sistema esterno alla rete aziendale, per verificare quali vulnerabilità della rete sono accessibili dal “mondo esterno”.

    LANguard N.S.S. effettua la scansione dei PC e dei dispositivi che vengono rilevati come “accesi”, mentre salta la scansione per quelli rilevati come “spenti” (per ottenere una maggiore velocità). Tale rilevamento è effettuato utilizzando prove NETBIOS, interrogativi (query) ping ICMP e SNMP. Qualora alcuni PC siano configurati per non rispondere a tali prove, si può comunque configurare LANguard N.S.S. per forzarne la scansione completa.

    Una volta avviata la scansione, nel riquadro inferiore dell'interfaccia viene riportato il log dell'avanzamento dei controlli; nel riquadro centrale vengono elencate, man mano che vengono recuperate, le vulnerabilità e le informazioni raccolte durante la scansione:


     6 - Utilizzo - parte seconda

      Al termine della scansione (che può durare anche diversi minuti, a seconda del tipo di scansione e del numero di PC coinvolti) ritroveremo nel riquadro centrale ogni macchina scansita, e per ognuna una lista di nodi con le varie categorie di informazioni e vulnerabilità trovate per ognuna, mentre nel riquadro di destra vengono visualizzati i singoli elementi della categoria selezionata:


    Cliccando su un singolo elemento, si apre una finestra che elenca descrizione e dettagli relativi a tale vulnerabilità.


    Le categorie (nodi) di informazioni trovate riguardano le vulnerabilità (ovvero i problemi trovati come mancanza di service pack e patch o problemi di sicurezza, e sono indicati i suggerimenti per risolverli e le descrizioni dettagliate), le vulnerabilità potenziali (ovvero informazioni incomplete su patch e altro), le condivisioni (condivisioni configurate, accessibilità anonime, ecc.), le politiche delle password, i dispositivi USB e di rete, i registri di sistema, le porte aperte, gli utenti e gruppi (ad esempio l'utente Guest), i servizi, e altro ancora.

    Ricordiamo che LANguard N.S.S. per la ricerca delle patch mancanti non si limita ai sistemi operativi Windows, ma supporta diversi altri prodotti (lista qui).

    Nel caso di patch mancanti, LANguard N.S.S. informa sul prodotto per cui manca tale patch e il link per scaricarla.

    I risultati delle scansioni possono essere filtrati dall'utente a seconda delle proprie esigenze. Ci sono diversi filtri preimpostati tra cui scegliere, oppure si possono creare filtri personalizzati.


    É poi possibile salvare i risultati delle scansioni nel database interno (MS Access o MS SQL Server) e ricaricarli successivamente, oppure esportarli in formato XML.

    Non manca la possibilità di ottenere report in formato HTML:


    Come già accennato, si possono pianificare diversi controlli, in modo che vengano eseguiti periodicamente in maniera automatica ed i risultati vengano esportati per analisi successive.


    LANguard N.S.S. è completamente ed approfonditamente configurabile nei suoi aspetti. Si possono configurare a piacimento i profili di scansione (Scanning Profiles) per scegliere quali prove “di vulnerabilità” verranno eseguita sui bersagli delle scansioni:


    Elencare qui le possibilità di personalizzazione di questo software è impossibile, la cosa più semplice è scaricare la versione trial del software e, tramite il completo manuale fornito, rendersene conto di persona.

    Per quanto riguarda le patch, tramite l'agente di distribuzione delle patch di LANguard N.S.S., come già accennato in precedenza, è possibile far installare le patch mancanti ai PC che presentano vulnerabilità. Con lo stesso sistema si possono anche distribuire propri software.
    I passi per ottenere tale operazione sono:

    • effettuare una scansione della rete
    • selezionare su quali macchine installare le patch e i service pack (o i software personalizzati)
    • selezionare quali patch impiegare
    • scaricare i file delle patch e dei service pack (l'operazione viene effettuata GFI LANguard N.S.S. in maniera automatica nella maggior parte dei casi)
    • installare gli aggiornamenti sulle macchine (una volta avviato, viene eseguito automaticamente su tutte le macchine selezionate, con un report dello stato d'avanzamento dell'operazione).

    LANguard N.S.S. può poi essere abbinato al tool Microsoft Software Update Services (SUS), del quale ne completa le funzionalità.

    A titoli informativo, segnaliamo che LANguard N.S.S. 7.0 è integrabile dal LANguard N.S.S. 7.0 ReportPack che consente, attraverso il GFI ReportCenter framework, di avere una gestione più potente e centralizzata dei report per i prodotti GFI, creando in maniera automatica report completi di grafici a partire dai dati delle scansioni.

     7 - Conclusioni

      La sicurezza informatica non è certo una novità: hacker e cracker esistono da decenni oramai.
    Quello che è cambiato è la dimensione del problema.

    Fino ad alcuni anni fa, infatti, i problemi di sicurezza riguardavano solo qualche grossa azienda od ente pubblico che aveva dei “segreti” da proteggere. Ora, con la diffusione di accessi Internet a banda larga, strumenti software di ogni tipo nonché più stringenti leggi di tutela della privacy, praticamente ogni azienda od ufficio deve fare i conti con la protezione dei propri sistemi. E questo non si limita ad acquistare un antivirus.

    Il controllo periodico dei PC aziendali per vulnerabilità varie e patch mancanti può essere fatto direttamente “a mano” sui PC in maniera agevole se questi sono pochi, meno di una decina.
    Quando i numeri aumentano, soprattutto se le macchine sono dislocate in stanze o edifici diversi, l'amministratore della rete aziendale sa bene che inizia a diventare indispensabile uno strumento che permetta di effettuare le operazioni di routine in maniera centralizzata, meglio ancora se in maniera automatica.

    E' a questi utenti che si rivolge un prodotto come il GFI LANguard N.S.S. 7.0 che abbiamo provato in questo articolo.

    La prima cosa che viene da dire sul GFI LANguard N.S.S. 7.0 è che si tratta di un prodotto veramente professionale.
    A differenza di alcuni strumenti che si trovano, il prodotto di GFI è veramente completo di tutto quello che può servire. Inoltre, i vari strumenti sono accessibili con razionalità e facilità di accesso notevole.

    Senz'altro degne di nota sono la quantità di funzionalità implementate e di controlli che vengono eseguiti nelle scansioni, nonché la completezza con cui il prodotto è personalizzabile e “confezionabile su misura” secondo le proprie esigenze.

    Un'ultima parola sulla stabilità del software: nelle nostre prove, seppur non esaustive come un uso intenso quotidiano in una grande rete, non abbiamo notato nessun problema, blocco o bug.

    Ricordiamo poi che la versione trial di prova di GFI LANguard N.S.S. 7.0 è liberamente scaricabile dal sito di GFI.



    --------------------------------------------------------------------------------------------
    AZPoint.net - http://www.azpoint.net
    Vietata ogni forma di duplicazione