INFN Sezione di Torino
Relazione Commissione Utenti Calcolo
---------------------------------------------------------------
L. Riccati
F. Bianchi, F. Marchetto
M. Masera, B. Alessandro
B. Minetti, M. Gallio
A. De Pace, G. Pollarolo
R. Cirio, F. Tosello.
---------------------------------------------------------------
Alcune regole per migliorare la sicurezza della rete informatica
dell' INFN:
Il problema della sicurezza e' ormai diventato il problema centrale per
qualsiasi sistema informativo e si e' ormai presentato anche per noi che
ci troviamo in una rete locale (LAN) molto complessa, interfacciata con
la rete mondiale INTERNET. Misure per affrontare il problema della
sicurezza non sono piu' eludibili, in quanto un qualsiasi sistema
sulla rete INTERNET che sia mal protetto puo' mettere in serio pericolo
la integrita' dei dati su tutta la rete, nonche' ridurne notevolmente
l'efficienza. Per cui queste misure non sono solo imposte da ragioni
interne (rendere la LAN e tutto il nostro sistema di calcolo piu'
efficiente), ma ci sono imposte da tutti gli altri utenti della rete.
Un uso improprio della rete puo' infatti portare alla esclusione da
INTERNET di tutte le nostre macchine.
Per tutelare la sezione rispetto a questo tipo di problemi diventa
necessario affrontare in tempi brevi il problema della sicurezza. Questo
chiaramente imporra' dei vincoli, che possono eventualemte essere visti
come vere e proprie coercizioni, sulle scelte personali dei vari utenti.
Vogliamo pero' qui ricordare che la liberta' di scelta individuale
deve fermarsi quando si chiede l'allacciamento (cioe' il numero TCP/IP)
del proprio PC o Work-Station alla rete della Sezione. Questa richiesta
deve significare l'accettazione di tutte le regole che vengono imposte
dal gestore della rete stessa (in ultima analisi GARR-B).
Le norme che seguono sono scaturite dopo lunghe ed ampie discussioni
tra tutti i membri della commissione utenti che si e' prefissa il
raggiungimento di un buon grado di sicurezza della nostra LAN mantenendo
altresi un buon grado di efficienza del centro di calcolo. Per questo
se le norme che seguono, NON VERRANNO RISPETTATE si dovra' richiedere
il ritiro del numero TCP/IP e quindi imporre l'uso del PC/WorkStation
in Stand-alone.
Prima di iniziare il nostro discorso conviene fare una premessa
per definire un po' piu' compiutamente il problema della sicurezza.
In quasi tutti i testi che parlano dell'argomento si distinguono sempre
due aspetti:
1) sicurezza dei dati a seguito di guasti hardware
2) sicurezza dei dati a seguito di intrusioni esterne
In questo documento ci interesseremo solo del secondo aspetto, essendo
il primo un problema di configurazione hardware (e di backups) che
deve essere affrontato diversamente.
Per quanto riguarda le intrusioni esterne bisogna fare bene attenzione
che queste non avvengono solo attraverso un uso impropio della rete
(cioe' sfruttando i diversi errori del software che permette alle CPU di
dialogare tra di loro) ma anche attraverso un uso improprio della CPU
stessa (per esempio un personal computer lasciato incustodito puo'
permettere un accesso indesiderato mediante il suo floppy disk).
La rete locale (LAN) dell'INFN-TO e' molto complessa, connette diverso
materiale di rete che necessita di indirizzi TCP/IP e centinaia di
CPU's che operano con diversi sistemi operativi (OVMS,
UNIX nelle diverse implementazioni, LINUX, WINDOW-NT, WINDOW-95/98,
... DOS...). In queste condizioni dobbiamo affrontare l'argomento,
molto vasto e complesso, "modularmente" ed avere in mente che
le scelte che paiono ottime in un dato momento possono essere
modificate successivamente.
E' chiaro che il problema maggiore e' posto dai PC e dalle
diverse CPU UNIX che non sono gestite centralmente.
Ciascun possessore di PC o stazioni "stand-alone" UNIX e' anche
generalmente l'amministratore (root) della macchina stessa per cui puo'
all'insaputa del centro di calcolo permettere l'accesso a nuovi utenti.
Un altro problema che si presenta per i PC, gia' menzionato sopra, e' che
con un semplice floppy di sistema si possono boostrappare le macchine
e quindi avere accesso indisturbato sulla rete.
Onde evitare questi problemi, e per permettere un monitoraggio di tutto
cio' che avviene in rete si richiede che:
- Su tutti i PC venga disabilitato il BOOT da dischetto e si protegga
l'accesso al BIOS con una password (ovviamente non deve esssere
conosciuta da una sola persona ma da un gruppo di persone in modo che
all'insorgere di problemi si possa avere accesso alla macchina stessa).
Nel caso venga utilizzato il BOOT manager LILO, occorre proteggerlo
con una password (la stessa del BIOS).
- Su tutti i sistemi UNIX (PC e WorkStation) non gestiti direttamente
dal Centro di Calcolo deve essere creato uno user SYSMAN con la
possibilita' di diventare super-user per il personale del centro
di calcolo in modo che possa accedere alla macchina e controllarne
la configurazione.
- Tutti i possessori di sistemi UNIX (PC e WorkStazion) devono
concordare con il centro di calcolo la configuurazione
delle loro macchine.
- Tutti gli utenti "normali" di questi macchine non possono diventare
super-user. L'account root deve essere usato solo per operazioni
riguardanti la manutenzione del sistema stesso e NON deve essere
usato nelle normali situazioni di lavoro.
- Su tutti i sistemi UNIX (PC e WorkStation) deve essere disabilitato
l'anonymous ftp.
- Su tutti i sistemi UNIX (PC e WorkStation) deve essere disabilitato
il protocollo tftp.
- Su tutti i sistemi UNIX (PC e WorkStation) la condivisione dei dischi
via NFS deve essere discussa con il centro di calcolo onde evitare
seri problemi di sicurezza e minare l'efficienza della nostra LAN.
- Su tutti i sistemi UNIX (PC e WorkStation) deve essere montata la
versione 8.8.8 o superiore del sendmail avendo cura di disabilitare
il relay.
- Su tutti i sistemi UNIX (PC e WorkStation) la creazione di nuovi
utenti deve essere comunicata al centro di calcolo e deve avvenire
solo per ben precise ragioni.
- Per quanto riguarda LINUX, si impone che su tutti i nuovi PC venga
installata la distribuzione REDHAT e si consiglia fortemente di
migrare in tempi brevi verso questa distribuzione le vecchie
installazioni (le eccezioni devono essere motivate e discusse volta
per volta con la commissione ed il centro di calcolo.
- Ogni macchina, con qualunque sistema operativo, dovra' avere almeno
un responsabile che andra' comunicato al Centro di Calcolo.
Per gli utenti Linux, il Centro di Calcolo ha approntato una
pagina Web con alcune indicazioni pratiche
e ha provveduto alla realizzazione del mirroring delle
varie release della distribuzione Red Hat di Linux nonche' del software di piu'
largo uso.