Informatica e Ingegneria Online

Differenza tra Vulnerability Scanning e Wireless Scanning

Scritto il

Differenza tra Vulnerability Scanning e Wireless Scanning

Vulnerability Scanning

Come per il Network Port and Service Identification, la scansione delle vulnerabilità identifica gli host e gli attributi dell’host (ad esempio Sistemi operativi, applicazioni, porte aperte), ma tenta anche di identificare automaticamente le vulnerabilità, piuttosto che basarsi su una successiva interpretazione umana dei risultati della scansione. Alcuni scanner possono eseguire il rilevamento della propria rete e l’identificazione delle porte e dei servizi di rete. La scansione delle vulnerabilità può aiutare a identificare versioni software obsolete, patch mancanti e configurazioni errate e convalidare la conformità o le deviazioni dalla politica di sicurezza dell’organizzazione. Ciò viene fatto identificando i sistemi operativi e le principali applicazioni software in esecuzione sugli host e confrontandoli con le informazioni riguardanti le vulnerabilità note memorizzate nei database di vulnerabilità degli scanner.

Gli scanner di vulnerabilità possono:

  • Verificare la conformità dell’uso dell’applicazione host e le politiche di sicurezza
  • Fornire informazioni sugli obiettivi per i test di penetrazione
  • Fornire informazioni su come mitigare le vulnerabilità scoperte

Alcuni scanner basati hanno la possibilità di essere configurati con l’aggiunta di credenziali a livello di amministratore su singoli host, possono in questo modo estrarre informazioni sulle vulnerabilità direttamente dagli host utilizzando tali credenziali, con maggior precisione e accuratezza. Nel caso di scansioni senza impostazione di credenziali dell’host, queste possono essere eseguite sia internamente che esternamente e, anche se la scansione interna di solito rivela più vulnerabilità rispetto alla scansione esterna, il test da entrambi i punti di vista è importante. La scansione esterna deve fare i conti con i dispositivi di sicurezza perimetrale che bloccano il traffico, limitando l’efficacia della scansione. In questo caso si incorre nelle medesime difficoltà di quando si deve mappare la rete, come IPS e NAT; per ottenere maggiori informazioni sulla rete può essere utile escludere tali misure difensive, considerando che questo scenario non rifletterebbe con precisione le funzionalità di un utente malintenzionato esterno. Uno scanner di vulnerabilità è un modo relativamente rapido e semplice per quantificare l’esposizione di un’organizzazione a vulnerabilità superficiali. Una vulnerabilità di superficie è una debolezza che esiste in modo isolato, indipendente dalle altre vulnerabilità. I comportamenti e gli output degli host in risposta ai pattern di attacco inviati dallo scanner vengono confrontati con quelli che caratterizzano le firme delle vulnerabilità note e lo strumento segnala le corrispondenze rilevate.

Un problema con l’identificazione del livello di rischio delle vulnerabilità è che gli scanner di vulnerabilità utilizzano spesso i propri metodi proprietari per definire i livelli. Per esempio, uno scanner potrebbe utilizzare i livelli basso, medio e alto, mentre un altro potrebbe utilizzare i livelli bassa, media, alta, e critico. Ciò rende difficile confrontare i risultati tra più scanner. Inoltre, i livelli di rischio assegnati da uno scanner potrebbero non riflettere il rischio effettivo per l’organizzazione, ad esempio uno scanner potrebbe etichettare un server FTP come un rischio moderato poichè trasmette le password in chiaro, ma se l’organizzazione utilizza il server FTP solo come un server pubblico anonimo che non utilizza password, il rischio effettivo potrebbe essere notevolmente inferiore. Per determinare il livello di rischio appropriato per ogni vulnerabilità non è sufficente accettare semplicemente i livelli assegnati dagli scanner ma occorre un intervento umano.

La scansione delle vulnerabilità di rete presenta alcuni punti deboli significativi. Come per lo sniffing e il discovery della rete, questo tipo di scansione rivela le vulnerabilità solo per i sistemi attivi. Sebbene il processo sia altamente automatizzato, gli scanner di vulnerabilità possono avere un alto tasso di errori di falsi positivi; risulta quindi necessario che un individuo con esperienza nel networking e nella sicurezza dei sistema operativo interpreti i risultati. E poich´e la scansione delle vulnerabilità richiede più informazioni rispetto alla scansione delle porte, tende a generare molto più traffico e ciò può avere un impatto negativo sugli host o sui segmenti di rete nei quali il traffico di scansione sta viaggiando.

La scansione delle vulnerabilità è un’attività alquanto laboriosa che richiede un alto grado di coinvolgimento umano per l’interpretazione dei risultati. Può anche interrompere le operazioni di rete occupando la larghezza di banda e rallentando i tempi di risposta. Tuttavia, la scansione delle vulnerabilità è estremamente importante per garantire che le vulnerabilità siano mitigate prima che vengano scoperte e sfruttate dagli avversari.

Differenza tra Vulnerability Scanning e Wireless Scanning

Wireless Scanning

Le tecnologie wireless consentono a uno o più dispositivi di comunicare senza la necessità di connessioni fisiche come cavi di rete o periferiche. Si va da semplici tecnologie come tastiere e mouse wireless a complesse reti di telefoni cellulari e reti wireless locali (WLAN) aziendali. Poich´e il numero e la disponibilità di dispositivi abilitati wireless continua ad aumentare, è importante per le organizzazioni testare attivamente e proteggere i propri ambienti wireless aziendali.

Quando si pianificano delle valutazioni di sicurezza wireless bisogna considerare i seguenti fattori nell’ambiente dell’organizzazione:

  • La posizione della struttura sottoposta a scansione, poich´e la vicinanza fisica di un edificio a un’area pubblica o la sua ubicazione in un’area metropolitana può aumentare il rischio di minacce wireless
  • Il livello di sicurezza dei dati da trasmettere utilizzando tecnologie wireless
  • Con quale frequenza i dispositivi wireless si connettono e si disconnettono dall’ambiente e i tipici livelli di traffico wireless questo perch´e solo i dispositivi wireless attivi sono rilevabili durante una scansione

La scansione wireless deve essere eseguita utilizzando un dispositivo mobile con software di analisi wireless installato e configurato, che permetta di avviare scansioni specifiche e di eseguirle sia in modalità passiva che attiva. Lo strumento di scansione wireless dovrebbe essere in grado di eseguire la scansione di tutti i canali IEEE 802.11 a/b/g/n, nazionali o internazionali.

Passive Wireless Scanning

La scansione passiva dovrebbe essere condotta regolarmente per integrare le misure di sicurezza già in atto. Gli strumenti di scansione wireless utilizzati per condurre scansioni completamente passive non trasmettono dati, per questo non sono rilevati da utenti malintenzionati o da altri dispositivi. Ciò riduce la probabilità che le persone evitino il rilevamento disconnettendo o disabilitando i dispositivi wireless non autorizzati.

Gli strumenti di scansione passiva catturano il traffico wireless trasmesso all’interno della portata dell’antenna dello strumento. La maggior parte degli strumenti fornisce diversi attributi chiave relativi ai dispositivi wireless rilevati tra cui SSID (Service Set Identifier), tipo di dispositivo, canale, indirizzo MAC, intensità del segnale e numero di pacchetti trasmessi. Queste informazioni possono essere utilizzate per valutare la sicurezza dell’ambiente wireless e per identificare potenziali dispositivi non autorizzati o reti ad hoc non autorizzate. Lo strumento di scansione wireless dovrebbe anche essere in grado di valutare i pacchetti catturati per determinare se esistono anomalie operative o minacce.

I dispositivi malintenzionati esterni all’azienda possono essere identificati in vari modi attraverso la scansione passiva:

  • L’indirizzo MAC di un dispositivo wireless rilevato indica il fornitore dell’interfaccia wireless del dispositivo. Se un’organizzazione distribuisce solo interfacce wireless dai fornitori A e B, la presenza di interfacce da qualsiasi altro fornitore indica potenziali dispositivi non autorizzati
  • Se un’organizzazione dispone di registrazioni accurate dei propri dispositivi wireless distribuiti, gli esperti possono confrontare gli indirizzi MAC dei dispositivi rilevati con gli indirizzi MAC dei dispositivi autorizzati. La maggior parte degli strumenti di scansione consente di inserire un elenco di dispositivi autorizzati. Poich´e gli indirizzi MAC possono essere falsificati (spoofing), i risultati della scansione potrebbero non essere completi
  • I dispositivi malintenzionati potrebbero utilizzare SSID che non sono autorizzati dall’organizzazione
  • Alcuni dispositivi non autorizzati possono utilizzare SSID autorizzati dall’organizzazione, ma che non rispettano i requisiti di configurazione della sicurezza wireless.

Active Wireless Scanning

Le organizzazioni possono voler andare oltre la scansione wireless passiva e decidere di condurne una attiva. Questa si basa sulle informazioni raccolte durante le scansioni passive e tenta di collegarsi ai dispositivi rilevati per condurre test di penetrazione o di vulnerabilità. Bisogna prestare molta attenzione nel condurre scansioni attive, poichè queste potrebbero essere eseguite inavvertitamente su dispositivi di proprietà o gestiti da organizzazioni vicine ma che rientrano nel raggio d’azione. Inoltre dispositivi non autorizzati che sembrano operare all’interno della struttura dell’organizzazione potrebbero appartenere a un visitatore che inavvertitamente ha abilitato l’accesso wireless.

Le organizzazioni possono utilizzare la scansione attiva durante i test di penetrazione sui propri dispositivi wireless. Sono disponibili strumenti che, impiegando attacchi e funzioni scriptate, tentano di aggirare le misure di sicurezza implementate e valutano il livello di sicurezza dei dispositivi. Ad esempio, gli strumenti utilizzati per condurre test di penetrazione wireless tentano di connettersi ai punti di accesso (AP) attraverso vari metodi per eludere le configurazioni di sicurezza. Se lo strumento può accedere all’AP, può ottenere informazioni e identificare le reti cablate e i dispositivi wireless a cui è collegato l’AP.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario