Il principale svantaggio di simili metodologie di hardening della LAN è rappresentato, come facilmente intuibile, dalla constatazione che l’aggiunta od il cambio di un qualsiasi dispositivo hardware o software (sistema operativo) in tutta la LAN costringerebbe l’amministratore di rete a riconsiderare ogni configurazione precedentemente fatta; per reti meno che banali ciò diverrebbe un incubo, nella pratica scomodissimo da realizzare e mantenere e foriero di errori.

Chi fa da sé…

Prevenire è meglio che curare: anche in mancanza di interventi radicali da parte dell’amministratore di rete, è possibile che i propri dati rimangano segreti pur in presenza di attacchi del tipo sniffing o man in the middle, preferendo i servizi che operano una cifratura dei dati (a livello applicativo) rispetto ai servizi "plain-text".

La cifratura dei dati avviene infatti, a tutt’oggi, per la maggior parte a livello applicativo, ovvero i pacchetti Ethernet, TCP ed IP rimangono immutati, ma conterranno dati cifrati secondo il programma/protocollo usato: HTTP su SSL (https), S/MIME, PGP, ssh, eccetera, oltre alle più complesse architetture VPN.

Come sempre, la tecnologia va usata essendo consci di ciò che si compie e conoscendone il dominio di utilizzo, nessuno si illuda che i dati scambiati con la propria banca on-line siano sicuri solo perchè Firefox mostra il famoso "lucchetto" nella barra degli indirizzi: un click di troppo dell’utente, un PC infettato da trojan, un browser contenente autorità di certificazioni "fasulle" e via discorrendo potrebbero inficiare tecnologie così ben studiate e, di per sé, sicure.

Nella prossima parte dell’articolo vedremo come evitare che attacchi di tal genere si attuino in una LAN utilizzando alcuni software comuni e di facile utilizzo.