Post on 01-Jul-2015
description
Analisi e realizzazione di uno strumento per la veri2ica di conformità su sistemi remoti basato
sullo standard XCCDF
Laureando: Relatore: Davide Bravin Prof. Alberto Bartoli Svolta presso: Correlatore: Emaze Networks S.p.A Alessandro Budai
Università degli Studi di Trieste DiparEmento di Ingegneria e ArchiteIura Corso di Laurea Magistrale in Ingegneria InformaEca
Anno accademico 2012/2013
Contesto Tra gli interessi dell’azienda ci sono: • Minimizzare l’impaIo di possibili vulnerabilità̀ • AutomaEzzare le procedure di controllo
Le problemaEche che si vogliono risolvere sono verificare la presenza di: • Vulnerabilità̀ • SoTware e versione • Determinate configurazioni del sistema operaEvo o di un soTware
Standard • ProblemaEche non solo aziendali • RispeIare gli standard per: • Interoperabilità con prodoU esterni • Favorire la condivisione e il riuElizzo delle informazioni, dei daE o dei risultaE;
• Ridurre i margini di errore e la complessità̀ del soTware;
• Esistono standard: • OVAL -‐ Open Vulnerability and Assessment Language • XCCDF – the eXtensible ConfiguraEon Checklist DescripEon Format
OVAL Language • Open Vulnerability and Assessment Language
• Linguaggio XML per esprimere lo stato di un sistema e permeIere di fare asserzioni
OVAL Language fornisce: • Descrizione delle informazioni che devono essere raccolte • Descrizione di come devono essere valutate
XCCDF Language • the eXtensible ConfiguraEon Checklist DescripEon Format
• Linguaggio XML per specificare checklist e riportare i risultaE della loro valutazione
• Checklist: documento in forma machine-‐readable di un insieme di configurazioni di sicurezza per qualche sistema
OVAL e XCCDF
Obiettivi e requisiti L’obieUvo è la realizzazione di uno strumento automaEzzato che sia in grado di: • Collegarsi a un sistema remoto • Interagire con il sistema oIenendo varie Epologie di informazioni
• Verificare se la configurazione è conforme a quella voluta
Alcuni requisiE sono: • RispeIare gli standard XCCDF e OVAL • Interagire con strumenE già presenE in azienda • Esecuzione da terminale
Interprete XCCDF • Necessita di: • Sistema target • Documento XCCDF • Documento OVAL
Work2low Interprete XCCDF (I) Il processo di elaborazione di una checklist:
1. Analisi dei documenE XML
Work2low Interprete XCCDF (II) Il processo di elaborazione di una checklist:
1. Analisi dei documenE XML 2. Elaborazione della checklist
Work2low Interprete XCCDF (III) Il processo di elaborazione di una checklist:
1. Analisi dei documenE XML 2. Elaborazione della checklist 3. Valutazione dei test da eseguire
Work2low Interprete XCCDF (IV) Il processo di elaborazione di una checklist:
1. Analisi dei documenE XML 2. Elaborazione della checklist 3. Valutazione dei test da eseguire 4. Esecuzione dei test
Esecuzione dei test Engine Oval già presente, in grado di: • ConneIersi a un sistema • Eseguire i test presenE nei documenE OVAL • Fornire un risultato di Epo True o False
Refactoring dell’engine per permeIere all’interprete di: • Inizializzare e finalizzare engine • Richiedere l’esecuzione di un test • Fornire i parametri del test • Ricevere il risultato del test
Work2low Interprete XCCDF (V) Il processo di elaborazione di una checklist:
1. Analisi dei documenE XML 2. Elaborazione della checklist 3. Valutazione dei test da eseguire 4. Esecuzione dei test 5. Valutazione risultato dei test
Work2low Interprete XCCDF (VI) Il processo di elaborazione di una checklist:
1. Analisi dei documenE XML 2. Elaborazione della checklist 3. Valutazione dei test da eseguire 4. Esecuzione dei test 5. Valutazione risultato dei test 6. Visualizzazione dei risultaE
Conclusione L’obieUvo di creare uno strumento automaEzzato per la verifica di conformità che rispeU lo standard XCCDF è stato raggiunto. Alcuni possibili sviluppi futuri: • Creazione di un’interfaccia grafica • Creazione di uno strumento per permeIere la personalizzazione di una checklist già̀ esistente
• Aggiornamento di entrambi gli strumenE a una versione più̀ recente di Python
• Miglioramento della gesEone dei log
Grazie per l’aIenzione