Realizzare l'infrastruttura

È opportuno proteggere¹ la rete interna prima di collegarla ad Internet.

Rete Interna

Le attività da prevedere sono:

1. Inventario e verifica della situazione
2. Eliminazione delle macchine "soft" e obsolete
• Macchine Dos
• Macchine Windows 3.1
• Macchine Windows 95 e Windows 98
3. Controllo e verifica degli utenti della rete
4. Sicurezza sulle stazioni
• Definire i protocolli e le regole di accesso alle stazioni
• Eliminare tutti gli "share" e i servizi di stazione non necessari
• Definire gli utenti "supervisori" della singola stazione
• Rivedere le procedure di configurazione centralizzata e aggiornamento programmi
5. Sicurezza sul server
• Rivedere la struttura delle directory
• Rivedere i servizi installati sul server
• Censire e rivedere le procedure applicative
6. Ruoli e diritti di accesso
• Definire i ruoli dei singoli utenti
• Definire i diritti di accesso alle stazioni locali
• Definire i diritti di accesso ai server
7. Verificare e testare il tutto
8. Installare i tools di verifica
• Reporting su utenti, ruoli e dirtti di accesso
• Reporting sulle attività degli utenti
• Log di sistema
• Log applicativi
• Reporting sulle attività dei server

Struttura Fisica

Le attività da prevedere sono:

1. Contratto con il provider
• Tipo e velocità della linea
• Tipo di contratto
• Servizi accessori
• Assegnazione degli indirizzi IP
2. Collegamento fisico
• Installazione del Router
• Installazione e Configurazione del Firewall
• Installazione e Configurazione del DNS
• Installazione e Configurazione del Server di Posta
3. Dominio
• Scegliere il nome
• Registrare il dominio e il relativo DNS
4. Testare i collegamenti
• Posta elettronica
• Accesso Internet dall'interno
5. Installare e configurare gli altri server
• Web Server
• Proxy server
• FTP server
• Server di autenticazione
6. Installare e testare i tools di monitoraggio
7. Installare e verificare le procedure di test e di probing della rete

Struttura Software

Le attività da prevedere sono:

1. Installare i server applicativi
• AR Btrieve Soap Server
• SQL Server, ecc...
2. Verificare i collegamenti
3. Verificare la sicurezza

Verificare la Struttura

Rivedere e testare tutta la struttura installata nell'ottica della sicurezza:

1. Cercare punti deboli nella struttura
2. Richiedere una verifica esterna della struttura
3. Eseguire una serie di test standard di attacco
• Esaminare il comportamento dei vari componenti
• Esaminare gli esiti sui log e sugli strumenti di monitoraggio
4. Stabilire il protocollo per le verifiche periodiche
5. Preparare il manuale e i protocolli relativi alla sicurezza (tenendo presente che il manuale non deve però diventare uno strumento di diffusione di informazioni che semplificano il compito dell'attacante)

Competenze richieste

In questa attività intervengono:

1. Fornitore Hardware
2. Web Builder
3. Ar Enterprise spa

---

¹ Si usano anche i termini hard e soft, secondo l'usanza militare. Una risorsa hard è in un qualche modo corazzata mentre una risorsa soft non ha alcuna protezione.