Premessa: La sicurezza informatica è fondamentale ogni qualvolta i sistemi informatici vengono utilizzati per la gestione di proprietà intellettuali o più genericamente informazioni, che hanno un valore per il proprietario. Questo decalogo è importante sia per chi si occupa della gestione dei sistemi informatici di un’azienda sia per un generico utilizzatore, ad esempio una utenza domestica.
Un sistema digitale può essere visto come una “blackbox”. Questa blackbox riceve degli input (Informazioni in ingresso) e restituisce degli output (informazioni elaborate). La blackbox è la funzione che permette di ottenere dagli input determinati output:
Input e Output possono essere informazioni analogiche o digitali. Le informazioni analogiche vengono “trasformate” in informazioni digitali per essere elaborate. Una volta elaborate, possono essere ritrasformate in analogiche.
I sistemi digitali possono essere:
Splunk è un software per la ricerca, il monitoraggio e l’analisi di file di log, tramite una interfaccia web.
Quando il numero di dispositivi nella rete aziendale inizia a crescere, il monitoraggio diventa complesso. Per facilitare la gestione dei dispositivi esistono diverse tecnologie. Una delle più utilizzate è il protocollo SYSLOG.
Rsyslog è un software opensource per la gestione dei messaggi in formato syslog. Oltre al protocollo syslog, gestisce altri protocolli e altre tipologie di messaggio. Per il monitoraggio esistono tool a linea di comando o tool grafici.
In questi giorni stavo ricevendo su diversi server attacchi di tipo “brute force” su SSH. Per risolvere il problema ho deciso di utilizzare fail2ban. E’ scritto in python e funziona su tutti i sistemi linux dove è installato iptables.
Questo è il sito web ufficiale:
Questa utile applicazione effettua una scansione del file di log ad esempio /var/log/apache/error_log e utilizzando iptables blocca tutti gli ip dai quali provengono attacchi o operazioni non autorizzate