Configurazione della rete

A questo punto, dovrebbero essere stati creati sia utenti in grado di assumere ruoli, sia i ruoli stessi. Solo il ruolo root ha la possibilità di modificare i file di sistema.

Tra le attività di rete indicate di seguito, eseguire quelle che garantiscono maggiore sicurezza in base ai requisiti del sito. Queste attività di rete consentono di notificare agli utenti che hanno eseguito il login in remoto che il sistema è protetto e permettono di rafforzare i protocolli IP, ARP e TCP.

Attività	Descrizione	Per istruzioni
Visualizzare messaggi di avvertenza che riflettano i criteri di sicurezza del sito.	Inviare notifiche a utenti e potenziali intrusi indicando che il sistema è monitorato.	Visualizzare il messaggio di sicurezza per gli utenti `ssh` e `ftp`
Disattivare il daemon di routing di rete.	Limitare l'accesso ai sistemi da parte di potenziali sniffer di rete.	Disattivazione del daemon di routing di rete.
Impedire la diffusione di informazioni sulla topologia di rete.	Impedire il broadcast di pacchetti.	Disattivazione dell'inoltro del pacchetto di broadcast
	Impedire di rispondere a richieste di eco di broadcast e di multicast.	Disattivazione delle risposte a richieste di eco
Per i sistemi che sono gateway per altri domini, come firewall o nodi VPN, attivare un rigido livello di multihoming per origine e destinazione.	Impedire ai pacchetti che non hanno l'indirizzo del gateway nell'intestazione di spostarsi oltre il gateway.	Impostazione di un rigido multihoming
Impedire attacchi DOS controllando il numero di connessioni di sistema incomplete.	Limitare il numero consentito di connessioni TCP incomplete per un listener TCP.	Impostazione del numero massimo di connessioni TCP incomplete
Impedire attacchi DOS controllando il numero di connessioni di ingresso consentite.	Specificare il numero massimo predefinito di connessioni TCP in sospeso per un listener TCP.	Impostazione del numero massimo di connessioni TCP in sospeso
Generare numeri casuali interi per le connessioni TCP iniziali.	Uniformarsi al valore di generazione del numero di sequenza specificato da RFC 1948.	Specificare un numero casuale intero per la connessione TCP iniziale
Ripristinare i parametri di rete ai valori predefiniti di sicurezza.	Aumentare la sicurezza ridotta da precedenti interventi di amministrazione.	Ripristino dei parametri di rete su valori protetti
Aggiungere wrapper TCP ai servizi di rete per limitare l'uso delle applicazioni agli utenti autorizzati.	Specificare i sistemi che possono accedere ai servizi di rete come, ad esempio, FTP. Per impostazione predefinita, l'applicazione `sendmail` viene protetta con wrapper TCP, come descritto in Support for TCP Wrappers From Version 8.12 of sendmail in Oracle Solaris Administration: Network Services .	Per attivare wrapper TCP per tutti i servizi `inetd`, vedere How to Use TCP Wrappers to Control Access to TCP Services in Oracle Solaris Administration: IP Services . Per un esempio di wrapper TCP che protegge il servizio di rete FTP, vedere How to Start an FTP Server Using SMF in Oracle Solaris Administration: Network Services .

Visualizzare il messaggio di sicurezza per gli utenti `ssh` e `ftp`

Utilizzare questa procedura per visualizzare le avvertenze al momento del login remoto e del trasferimento file.

Prima di cominciare

È necessario utilizzare il ruolo root. È stato creato il file /etc/issue in Punto 1 di Inserire un messaggio di sicurezza nei file banner.

Per visualizzare un messaggio di sicurezza per gli utenti registrati mediante l'utilizzo di ssh, eseguire quanto indicato di seguito:
1. Rimuovere il commento della direttiva Banner nel file /etc/sshd_config.
```
# vi /etc/ssh/sshd_config
# Banner to be printed before authentication starts.
Banner /etc/issue
```
2. Aggiornare il servizio ssh.
```
# svcadm refresh ssh
  
```
Per ulteriori informazioni, vedere le pagine man issue(4) e sshd_config(4).
Per visualizzare un messaggio di sicurezza per gli utenti registrati mediante ftp, eseguire quanto indicato di seguito:
1. Aggiungere la direttiva DisplayConnect al file proftpd.conf.
```
# vi /etc/proftpd.conf
# Banner to be printed before authentication starts.
DisplayConnect /etc/issue
```
2. Riavviare il servizio ftp.
```
# svcadm restart ftp
```
  Per ulteriori informazioni, vedere il sito Web ProFTPD.

Disattivazione del daemon di routing di rete.

Utilizzare questa procedura per prevenire il routing di rete dopo l'installazione specificando un router predefinito. In caso contrario, eseguire questa procedura dopo aver eseguito il routing manualmente.

Nota - Molte procedure di configurazione della rete richiedono la disattivazione del daemon di routing. Tuttavia, il daemon potrebbe essere stato disattivato nell'ambito di una procedura di configurazione più ampia.

Prima di cominciare

È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).

Verificare che il daemon di routing sia in esecuzione.

# svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

Se il servizio non è in esecuzione, la procedura è conclusa.

Disattivare il daemon di routing.

# routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u

Verificare che il daemon di routing sia disattivato.

# svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://sun.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

Vedere anche

Pagina man routeadm(1M)

Disattivazione dell'inoltro del pacchetto di broadcast

Per impostazione predefinita, Oracle Solaris inoltra pacchetti di broadcast. Se i criteri di sicurezza del sito richiede la riduzione delle possibilità di snellire il broadcast, modificare l'impostazione predefinita utilizzando questa procedura.

Nota - Quando si disattiva la proprietà di rete _forward_directed_broadcasts si disattivano anche i ping di broadcast.

Prima di cominciare

È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).

Impostare la proprietà di inoltro del pacchetto di broadcast su 0 per i pacchetti IP.
```
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
```

Verificare il valore corrente.

# ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

Vedere anche

Pagina man ipadm(1M)

Disattivazione delle risposte a richieste di eco

Utilizzare questa procedura per impedire la diffusione di informazioni sulla topologia di rete.

Prima di cominciare

È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).

Impostare la risposta per la proprietà delle richieste di eco broadcast su 0 per i pacchetti IP, quindi verificare il valore corrente.

# ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1

Impostare la risposta per la proprietà delle richieste di eco multicast su 0 per i pacchetti IP, quindi verificare il valore corrente.

# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

Vedere anche

Per ulteriori informazioni, vedere _respond_to_echo_broadcast and _respond_to_echo_multicast (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual e la pagina man ipadm(1M).

Impostazione di un rigido multihoming

Per i sistemi che sono gateway per altri domini, come firewall o nodi VPN, utilizzare questa procedura per attivare un rigido livello di multihoming.

La release Oracle Solaris 11 introduce una nuova proprietà hostmodel per IPv4 e IPv6. Tale proprietà controlla i comportamenti di invio e ricezione dei pacchetti IP in un sistema di multihoming.

Prima di cominciare

È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).

Impostare la proprietà hostmodel su strong per i pacchetti IP.

# ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6

Verificare il valore corrente e annotare i valori possibili.

# ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

Vedere anche

Per ulteriori informazioni, vedere hostmodel (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual e la pagina man ipadm(1M).

Per ulteriori informazioni sull'utilizzo di un rigido multihoming, vedere How to Protect a VPN With IPsec in Tunnel Mode in Oracle Solaris Administration: IP Services .

Impostazione del numero massimo di connessioni TCP incomplete

Adottare questa procedura per prevenire attacchi DOS (denial of service) controllando il numero di connessioni in sospeso incomplete.

Prima di cominciare

È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).

Impostare il numero massimo di connessioni in ingresso.
```
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
```

Verificare il valore corrente.

# ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

Vedere anche

Per ulteriori informazioni, vedere _conn_req_max_q0 in Oracle Solaris Tunable Parameters Reference Manual e la pagina man ipadm(1M).

Impostazione del numero massimo di connessioni TCP in sospeso

Utilizzare questa procedura per impedire attacchi DOS controllando il numero di connessioni di ingresso consentite.

Prima di cominciare

È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management).

Impostare il numero massimo di connessioni in ingresso.
```
# ipadm set-prop -p _conn_req_max_q=1024 tcp
```

Verificare il valore corrente.

# ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

Vedere anche

Per ulteriori informazioni, vedere _conn_req_max_q in Oracle Solaris Tunable Parameters Reference Manual e la pagina man ipadm(1M).

Specificare un numero casuale intero per la connessione TCP iniziale

Questa procedura consente di impostare il parametro di generazione del numero di sequenza iniziale TCP affinché sia conforme a RFC 1948.

Prima di cominciare

Per modificare un file system, è necessario che sia attivo il ruolo root.

Modificare il valore predefinito per la variabile TCP_STRONG_ISS.

# vi /etc/default/inetinit
# TCP_STRONG_ISS=1
TCP_STRONG_ISS=2

Ripristino dei parametri di rete su valori protetti

Molti parametri di rete protetti per impostazione predefinita sono configurabili e possono essere modificati. Se le condizioni del sito lo consentono, ripristinare i seguenti parametri configurabili ai valori predefiniti.

Prima di cominciare

È necessario che all'utente venga assegnato un profilo di diritti per la gestione di rete (Network Management). Il valore corrente del parametro è meno sicuro del valore predefinito.

Impostare la proprietà di inoltro del pacchetto di origine su 0 per i pacchetti IP, quindi verificare il valore corrente.

Il valore predefinito impedisce attacchi DOS da pacchetti falsificati.

# ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

Per ulteriori informazioni, vedere forwarding (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual .

Impostare la proprietà di risposta della maschera di rete su 0 per i pacchetti IP, quindi verificare il valore corrente.

Il valore predefinito impedisce la diffusione di informazioni sulla topologia di rete.

# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1

Impostare la proprietà di risposta data/ora su 0 per i pacchetti IP, quindi verificare il valore corrente.

Il valore predefinito consente di rimuovere ulteriori richieste di CPU sui sistemi e impedire la diffusione delle informazioni sulla rete.

# ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1

Impostare la proprietà di risposta data/ora di broadcast su 0 per i pacchetti IP, quindi verificare il valore corrente.

Il valore predefinito consente di rimuovere ulteriori richieste di CPU sui sistemi e impedisce la diffusione delle informazioni sulla rete.

# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1

Impostare la proprietà che consente di ignorare i reindirizzamenti su 0 per i pacchetti IP, quindi verificare il valore corrente.

Il valore predefinito impedisce ulteriori richieste di CPU sui sistemi.

# ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   0         --           0         0,1

Impedire il routing di origine IP.
Se è necessario un routing di origine IP per scopi diagnostici, non disattivare questo parametro di rete.
```
# ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _rev_src_routes   rw   0         --           0         0,1
```
Per ulteriori informazioni, vedere _rev_src_routes in Oracle Solaris Tunable Parameters Reference Manual .

Impostare la proprietà che consente di ignorare i reindirizzamenti su 0 per i pacchetti IP, quindi verificare il valore corrente.

Il valore predefinito impedisce ulteriori richieste di CPU sui sistemi. Generalmente, se la rete è ben progettata, non sono necessari reindirizzamenti.

# ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4   _ignore_redirect   rw    0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   _ignore_redirect   rw    0         --           0         0,1

Vedere anche

Pagina man ipadm(1M)

Ignora collegamenti di spostamento
Esci da visualizzazione stampa
	Oracle Solaris 11 Security Guidelines Oracle Solaris 11 Information Library (Italiano)