Quali sono i principali pericoli da tenere d'occhio in una rete locale e quali sono i rimedi per mettersi al riparo da attacchi interni
Le problematiche di sicurezza più rilevanti nell'utilizzo di una LAN aziendale, cablata o wireless, sono rappresentate dal cosiddetto sniffing dei dati e dagli attacchi del tipo "man in the middle", cioè "dell'uomo in mezzo". Gli artefici di tali attacchi sono utenti od agenti software interni alla rete locale stessa.
Poiché i dati scambiati in una rete Ethernet IPv4 sono il più delle volte in chiaro (non cifrati), compresi, ad esempio, nomi utente e password comunemente inviati per scaricare la posta o per fare il login su servizi Web, una volta "sniffati" possono essere letti e riusati senza sforzo alcuno.
Qualora, infatti, la riservatezza di ciò che viene scambiato in rete (locale ed Internet) fosse vincolo stringente, allora sarebbe necessario cifrare i dati ad opera delle applicazioni di livello utente (le quali sovente si appoggiano alle funzionalità di protocolli di livello intermedio): si pensi ad esempio a browser e server Web quando questo espone pagine protette "https".
I dispositivi wireless, dal canto loro, possono portare ad ulteriori rischi inerenti la sicurezza, di cui non si fa però cenno nel presente articolo, potendo essere essi assimilati, per i nostri scopi, a normali dispositivi cablati. Con possibili rischi aggiuntivi.
Lo sniffing in una LAN può essere attuato da chiunque, anche se non in possesso di particolari conoscenze informatiche, dacché esistono potentissimi tool (su piattaforme Linux e Windows), in grado di catturare e visionare il traffico di rete con qualche click di mouse.
Le metodologie di sniffing consistono per lo più:
- nel porre la scheda di rete del proprio PC in modalità promiscua, di modo che, anziché ricevere i soli dati ad essa destinati, questa "ascolti" e "legga" tutto ciò che passa per il segmento di rete in cui si trova,
- nell'usare tecniche di ARP cache poisoning, che vedremo brevemente.
La modalità promiscua in dettaglio
In una rete cablata Ethernet, i sistemi che ne fanno parte comunicano tra essi incapsulando i datagrammi IP (inerenti lo stack di protocolli TCP/IP) in altre strutture dati, dette frame. Ogni scheda di rete possiede un suo indirizzo MAC univoco; al fine della spedizione, ogni sistema incapsula i pacchetti IP in frame Ethernet contenenti l'indirizzo MAC del destinatario e li invia sulla rete stessa, la quale rete (attenzione) è fisicamente condivisa tra tutti i sistemi (nei casi più semplici, fatta salva cioè la presenza di switch hardware).
Se una scheda di rete funziona in modalità promiscua, essa è, come abbiamo già accennato, in grado di leggere ogni frame che passa per il segmento di rete in cui la scheda si trovi, esattamente come chi è per la strada è in grado di sentire ciò che le persone vicine dicono, qualora vi ponga la necessaria attenzione.
È possibile "segmentare" una rete attraverso gli switch, dispositivi che fungono da "smistatori" di segnale: nel caso limite di reti a stella, in cui ad ogni PC arriva solo il traffico Ethernet ad esso destinato, una scheda di rete in modalità promiscua non potrà far altro che leggere i dati ad essa stessa riservati e nulla più.
È vero, sono possibili attacchi - e ve ne sono di diverso tipo - verso gli switch, al fine di costringerli a "divulgare" dati a tutti, come fossero hub, ma sono state sviluppate tecniche ben più sofisticate per lo sniffing, tanto da rendere questi attacchi una perdita di tempo ed una seccatura.