Sono APM, perchè al primo login non sono autorizzato?¶

A volte la costruzione delle strutture di autorizzazione richiede alcuni secondi. Prova a fare refresh della pagina.

Sono APM, ho fatto refresh ma resto non autorizzato. Perchè?¶

Per poter essere autorizzati dal sistema e «dimostrare» di essere APM della rete GARR, il campo «mail» che proviene dall’IdP deve essere valorizzato identicamente a quello inserito nel DB GARR. I due valori devono fare il match.

Se così non fosse l’APM può risolvere in due modi:

1. Scrivere a scarr-service@garr.it e farsi cambiare la mail nel nostro DB come nel proprio IdP.
   Tenere in conto che servono almeno 24 ore di attesa dopo la modifica, affinche' si allineino i dati di Segreteria e SCARR.
2. Contattare chi si occupa dell’anagrafica nella propria struttura e farsi cambiare la mail nel proprio Identity Managemen System

Sono APM, perchè dopo la conferma di modifica della mail non sono ancora autorizzato?¶

E' necessario attendere 24 ore di tempo affinche' i dati della Segreteria confluiscano nel database di SCARR. Riprovare a fare login 24 ore piu' tardi.

Non sono APM, come scansiono i miei asset di rete?¶

Il primo passo è identificare il tuo APM e chiedere a lui di scansionare il tuo PC o la tua rete di Dipartimento. La lista degli APM delle strutture connesse a GARR si trova all’indirizzo: https://www.garr.it/it/comunita/la-comunita-garr/trova-il-tuo-apm.

Se invece hai un profilo da tecnologo ma non sei APM e hai necessità di effettuare scansioni contattaci tramite la form.

Perché i report sono vuoti?¶

Assicurati che gli indirizzi che stai validando siano raggiungibili dall’indirizzo da cui provengono tutte le scansioni di SCARR. Questo indirizzo è 90.147.160.197 - controlla le regole di firewall locale e del router di frontiera.

Perché il report di un host in NAT segnala anche porte senza servizi?¶

A volte può capitare che, nel caso si chieda la sansione di una macchina che fa na NAT server, i report possano elencare delle porte aperte, a volte con vulnerabilità, che in realtà non corrispondono a nessun servizio dietro il NAT.

La prima cosa da fare è accertarsi che effettivamente non ci sia nessun servizio dietro quella porta, attraverso un “telnet host porta”, oppure ssh, ftp, o testare una connessione HTTP o HTTPS col browser (dipende cosa viene indicato da OpenVAS come servizio)

Se la connessione rimane appesa senza dire niente è abbastanza probabile che la vulnerabilità sia un falso positivo

Probabilmente le regole del firewall non hanno una regola di DROP finale che rifiuta tutto quello che non è necessario, qundi il NAT forwarda quella porta, ma la connessione rimane appesa. OpenVAS lancia qualche plugin e potrebbe sembrare che dietro ci sia un servizio, a volte anche vulnerabile, ma si tratta appunto di un falso positivo.

In questo caso consigliamo di inserire una regola di firewalling di DROP generale per tutto il traffico non necessario, e aprire soltanto il necessario. OpenVAS troverà le porte chiuse, col vantaggio che anche la scansione dell’host risulterà più veloce.