Liste di controllo accessi

Negli Anni 90 uno dei comitati per la definizione degli standard POSIX (individuato dalla sigla IEEE 1003.1e) halavorato a un insieme di estensioni di sicurezza per UNIX. Lostandard fu abbandonato quando fi nirono i fondi, ma molteparti erano già complete, e alcune di esse sono state inseritein Linux. Le liste di controllo dell’accesso ai fi le (ACL, Access Control List) sono tra queste. Il modello standard dei permessi
di accesso ai fi le dovrebbe essere ben noto a tutti: ci sono permessi di lettura, scrittura ed esecuzione e ognuno di essi può essere impostato per il proprietario del fi le, per i membri del gruppo a cui appartiene il fi le o per tutti gli altri. Ed è tutto.Le ACL estendono il modello in modo da consentire l’assegnazione di permessi di lettura, scrittura ed esecuzione per qualsiasi utente o gruppo. I filesystem ext2 ed ext3 supportano le ACL, ma solo se montati con l’opzione acl:

Continua a leggere

Cisco ACL

Le Access Control Lists, o più semplicemente ACL, sono una lista ordinata di criteri a cui un determinato pacchetto deve essere conforme. Le ACL possono essere usate per filtrare l’attraversamento di determinati flussi di traffico, per i protocolli di routing o per limitare l’accesso interattivo al router. Si consiglia come approfondimento la lettura della documentazione fornita attraverso il sito Internet di Cisco (CCO).

Le ACL di base

Ripassiamo velocemente i tipi di ACL di base sui router, che ci serviranno in seguito. Possiamo distinguere quattro tipi fondamentali di ACL, le base:

access-list 1 permit 1.1.2.0 0.0.1.255

Le estese con commenti

access-list 100 remark telnet access list
access-list 100 permit tcp host 1.1.1.1 2.2.2.0 0.0.0.255 telnet

Continua a leggere

Squid

Il proxy server più popolare in internet é Squid. Si tratta di un proxy OpenSource ad alte prestazioni che supporta FTP, gopher, HTTP e HTTPS. Inoltre é dotato di un sistema di Access Control Lists (ACL) che permette di autenticare utenti e abilitare e/o disabilitare determinate URLs. Squid é stato concepito principalmente per ambienti Unix ed é disponibile sul sito Internet http://www.squid-cache.org/, ma esiste un ottimo porting anche su ambiente Windows NT/2000/XP/.NET. In questo paragrafo si intende fornire un esempio di configurazione effettuata con sistema operativo Linux e Windows, che sono tra i più diffusi. Qualsiasi sia il sistema operativo scelto su cui eseguire Squid, si consiglia di eliminare i servizi non usati, quali ad esempio FTP e TELNET su macchine Unix o la condivizione file e stampanti sotto windows: tale processo é detto di hardening. In questi esempi, si assume che l’utente abbia familiarità con gli ambienti operativi e che il server proxy disponga di due interfaccie di rete, una da collegare alla rete interna, l’altra verso la rete wireless. Continua a leggere

La scelta implementativa di SE-linux

Ho voluto realizzare un compromesso tra sicurezza e manutenibilità del sistema. Nei sistemi di derivazione Red Hat, ovvero Fedora, CentOS e Red Hat Enterprise Linux, esistono due tipologie di policy preconfezionate disponibili con la distribuzione: la targeted e la strict. La modalità targeted ha il compito di proteggere e confinare i daemons, lasciando aperto tutto quello che non è esplicitamente confinato (quello che non è esplicitamente confinato è chiamato anche unconfined_t). Nella modalità strict ogni singolo programma e ogni singolo “ambiente” è confinato, dovendo impostare delle regole di abilitazione (si chiamano domain transition).

Sono stato combattuto tra quale delle due modalità utilizzare: sicuramente la prima è più facile da gestire, ma ha dei problemi a “confinare” i system administrators, mentre la seconda offre una sicurezza senza dubbio maggiore a livello militare, ma necessita di una preparazione sistemistica notevole, che normalmente operatori non hanno. Continua a leggere

1 2