Introduzione alla sicurezza fisica

Un aspetto che spesso viene sottovalutato o totalmente ignorato è la sicurezza fisica dei vari sistemi, l'accesso non autorizzato a dati sensibili può avvenire anche da locale, il classico esempio è quello della propria workstation contenente informazioni personali come numeri di carte di credito o numeri di conto correnti accessibile senza nessuna protezione di sorta come le password di sistema.

Di fatto l'accesso in locale dei propri sistemi deve essere permesso ai soli addetti ai lavori, ma dobbiamo considerare anche l'ipotesi di un "attacco" effettuato dall'interno.
Il termine sicurezza si deve estendere anche ad altre problematiche come ad esempio l'uso di un locale adeguato, con accesso controllato, per ospitare più host o la stesura di policy per il disaster recovery.
In linea di massima possiamo tracciare tre gruppi di check list per migliorare la sicurezza fisica dei propri sistemi.

Sicurezza Fisica del luogo
Ovvero tutto ciò che bisognerebbe fare per rendere più sicuro l'ambiente che ospita i sistemi.
- Accesso limitato e controllato alla sala macchina.
Sarebbe appropriato limitare e controllare tutti gli accessi ai vari locali e avvalendosi di sistemi di sicurezza elettronici come controllo. Ad esempio badge o scanner biometrici.
- Adeguare l'ambiente all'uso.
Adottare sistemi di:
Climatizzazione per mantenere l'ambiente ad un temperatura adeguata.
Anti-incendio a gas, approriati per i locali contenenti apparati elettronici ed elettrici.
Gruppi elettrogeni per l'erogazione continua di elettricità anche in caso di down della linea principale.
- Disaster recovery
Sarebbe opportuno stendere policy ed installare sistemi per il disaster recovery, effettuare il backup e spostarli dal luogo dei sistemi in produzione.

Sicurezza fisica del singolo host
I punti fondamentali per aumentare la sicurezza fisica del singolo host:
- Accesso limitato alla singola macchina
E' opportuno limitare la possibilità di accedere direttamente all'host, è bene togliere video e tastiere e impedire ove è possibile l'uso dei cdrom e dei floppy drive.
Nella maggior parte dei casi si hanno i sistemi messi in appositi armadi con serratura (rack) che limitano sia l'accesso al singolo host sia la possibilità di accedere a cavi di alimentazione o di rete. L'accesso dei sistemi dovrebbe avvenire tramite network o, in subordine, via console.
- Password sul BIOS
I comuni BIOS mettono a disposizione vari livelli di protezione basati sull'autenticazione utente tramite password. E' possibile usufruire di questa protezione sia in caso di reboot della macchina o per il solo cambiamento delle impostazioni del BIOS, la soluzione consigliata è la seconda perchè in caso di reboot volontario non verrà richiesto l'inserimento della password che dovrà essere inserita da locale.
- Boot Loader
Ulteriore possibilità di protezione al boot è la password del proprio boot loader.
In caso di un server è bene che al boot non venga richiesta nessuna password a meno che non venga modificata la procedura standard di boot, come ad esempio l'aggiunta di parametri all'avvio del kernel, questo per evitare la presenza fisica di un operatore ad ogni reboot. Analogamente va richiesta una password nei caso si cerchi di passare opzioni di boot diverse da quelle di default.
Tenere presente che queste password sono facilmente superabili nel caso in cui il sistema venga riavviato effettuando un boot da cd-rom o da floppy.
- Disattivare il reboot via ctrl-alt-del
Commentando la seguente linea in /etc/inittab è possibile eliminare la possibilità di riavvio tramite tastiera con la sequenza ctrl-alt-del
# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Attenzione: il tasto di reset sul case, continua a funzionare!

Cosa deve fare l'utente di un sistema
Le azioni comuni di un operatore per aumentare la sicurezza fisica del suon sistema.
- Lock della propria postazione
Ogni qual volta ci si allontana dall'host è necessario chiudere tutte le shell aperte e in caso di X attivo lanciare lo screensaver impostato con la password, in modo tale che chi non conosce la password non possa accedere al sistema.
- Info cartacee ed elettroniche
Evitare assolutamente di scrivere password o qualsiasi altra informazione considerata strategica o sensibile al contesto in cui si opera come ad esempio password scritte sotto le tastiere o sui video oppure attaccare post-it con informazioni rilevanti come numeri di conto corrente o qualsiasi altra informazione che potrebbe rivelarsi utile per introdursi nei propri sistemi informatici.
Nel caso in cui si debba annotare tali informazioni utilizzare filesystem cryptati in caso di supporti informatici o archiviare in posti "sicuri" (cassaforti, armadi con serratura) i documenti cartacei.

Privacy Policy