INFN Sezione di Torino Relazione Commissione Utenti Calcolo --------------------------------------------------------------- L. Riccati F. Bianchi, F. Marchetto M. Masera, B. Alessandro B. Minetti, M. Gallio A. De Pace, G. Pollarolo R. Cirio, F. Tosello. --------------------------------------------------------------- Alcune regole per migliorare la sicurezza della rete informatica dell' INFN: Il problema della sicurezza e' ormai diventato il problema centrale per qualsiasi sistema informativo e si e' ormai presentato anche per noi che ci troviamo in una rete locale (LAN) molto complessa, interfacciata con la rete mondiale INTERNET. Misure per affrontare il problema della sicurezza non sono piu' eludibili, in quanto un qualsiasi sistema sulla rete INTERNET che sia mal protetto puo' mettere in serio pericolo la integrita' dei dati su tutta la rete, nonche' ridurne notevolmente l'efficienza. Per cui queste misure non sono solo imposte da ragioni interne (rendere la LAN e tutto il nostro sistema di calcolo piu' efficiente), ma ci sono imposte da tutti gli altri utenti della rete. Un uso improprio della rete puo' infatti portare alla esclusione da INTERNET di tutte le nostre macchine. Per tutelare la sezione rispetto a questo tipo di problemi diventa necessario affrontare in tempi brevi il problema della sicurezza. Questo chiaramente imporra' dei vincoli, che possono eventualemte essere visti come vere e proprie coercizioni, sulle scelte personali dei vari utenti. Vogliamo pero' qui ricordare che la liberta' di scelta individuale deve fermarsi quando si chiede l'allacciamento (cioe' il numero TCP/IP) del proprio PC o Work-Station alla rete della Sezione. Questa richiesta deve significare l'accettazione di tutte le regole che vengono imposte dal gestore della rete stessa (in ultima analisi GARR-B). Le norme che seguono sono scaturite dopo lunghe ed ampie discussioni tra tutti i membri della commissione utenti che si e' prefissa il raggiungimento di un buon grado di sicurezza della nostra LAN mantenendo altresi un buon grado di efficienza del centro di calcolo. Per questo se le norme che seguono, NON VERRANNO RISPETTATE si dovra' richiedere il ritiro del numero TCP/IP e quindi imporre l'uso del PC/WorkStation in Stand-alone. Prima di iniziare il nostro discorso conviene fare una premessa per definire un po' piu' compiutamente il problema della sicurezza. In quasi tutti i testi che parlano dell'argomento si distinguono sempre due aspetti: 1) sicurezza dei dati a seguito di guasti hardware 2) sicurezza dei dati a seguito di intrusioni esterne In questo documento ci interesseremo solo del secondo aspetto, essendo il primo un problema di configurazione hardware (e di backups) che deve essere affrontato diversamente. Per quanto riguarda le intrusioni esterne bisogna fare bene attenzione che queste non avvengono solo attraverso un uso impropio della rete (cioe' sfruttando i diversi errori del software che permette alle CPU di dialogare tra di loro) ma anche attraverso un uso improprio della CPU stessa (per esempio un personal computer lasciato incustodito puo' permettere un accesso indesiderato mediante il suo floppy disk). La rete locale (LAN) dell'INFN-TO e' molto complessa, connette diverso materiale di rete che necessita di indirizzi TCP/IP e centinaia di CPU's che operano con diversi sistemi operativi (OVMS, UNIX nelle diverse implementazioni, LINUX, WINDOW-NT, WINDOW-95/98, ... DOS...). In queste condizioni dobbiamo affrontare l'argomento, molto vasto e complesso, "modularmente" ed avere in mente che le scelte che paiono ottime in un dato momento possono essere modificate successivamente. E' chiaro che il problema maggiore e' posto dai PC e dalle diverse CPU UNIX che non sono gestite centralmente. Ciascun possessore di PC o stazioni "stand-alone" UNIX e' anche generalmente l'amministratore (root) della macchina stessa per cui puo' all'insaputa del centro di calcolo permettere l'accesso a nuovi utenti. Un altro problema che si presenta per i PC, gia' menzionato sopra, e' che con un semplice floppy di sistema si possono boostrappare le macchine e quindi avere accesso indisturbato sulla rete. Onde evitare questi problemi, e per permettere un monitoraggio di tutto cio' che avviene in rete si richiede che: - Su tutti i PC venga disabilitato il BOOT da dischetto e si protegga l'accesso al BIOS con una password (ovviamente non deve esssere conosciuta da una sola persona ma da un gruppo di persone in modo che all'insorgere di problemi si possa avere accesso alla macchina stessa). Nel caso venga utilizzato il BOOT manager LILO, occorre proteggerlo con una password (la stessa del BIOS). - Su tutti i sistemi UNIX (PC e WorkStation) non gestiti direttamente dal Centro di Calcolo deve essere creato uno user SYSMAN con la possibilita' di diventare super-user per il personale del centro di calcolo in modo che possa accedere alla macchina e controllarne la configurazione. - Tutti i possessori di sistemi UNIX (PC e WorkStazion) devono concordare con il centro di calcolo la configuurazione delle loro macchine. - Tutti gli utenti "normali" di questi macchine non possono diventare super-user. L'account root deve essere usato solo per operazioni riguardanti la manutenzione del sistema stesso e NON deve essere usato nelle normali situazioni di lavoro. - Su tutti i sistemi UNIX (PC e WorkStation) deve essere disabilitato l'anonymous ftp. - Su tutti i sistemi UNIX (PC e WorkStation) deve essere disabilitato il protocollo tftp. - Su tutti i sistemi UNIX (PC e WorkStation) la condivisione dei dischi via NFS deve essere discussa con il centro di calcolo onde evitare seri problemi di sicurezza e minare l'efficienza della nostra LAN. - Su tutti i sistemi UNIX (PC e WorkStation) deve essere montata la versione 8.8.8 o superiore del sendmail avendo cura di disabilitare il relay. - Su tutti i sistemi UNIX (PC e WorkStation) la creazione di nuovi utenti deve essere comunicata al centro di calcolo e deve avvenire solo per ben precise ragioni. - Per quanto riguarda LINUX, si impone che su tutti i nuovi PC venga installata la distribuzione REDHAT e si consiglia fortemente di migrare in tempi brevi verso questa distribuzione le vecchie installazioni (le eccezioni devono essere motivate e discusse volta per volta con la commissione ed il centro di calcolo. - Ogni macchina, con qualunque sistema operativo, dovra' avere almeno un responsabile che andra' comunicato al Centro di Calcolo. Per gli utenti Linux, il Centro di Calcolo ha approntato una pagina Web con alcune indicazioni pratiche e ha provveduto alla realizzazione del mirroring delle varie release della distribuzione Red Hat di Linux nonche' del software di piu' largo uso.