Dopo aver presentato le principali fonti di insicurezza per una rete, oggi ci occupiamo di suggerire i principali metodi di protezione: da quelli più semplici a quelli più complessi.
Possiamo adottare diverse configurazioni a seconda del grado di sicurezza che si vuole garantire e conseguentemente del budget a disposizione. Oltre ai normali dispositivi sempre presenti in una rete come bridge, swtich, hub e router i componenti chiave per garantire la sicurezza sono sostanzialmente due: Firewall e IDS.
Senza entrare nel merito delle due apparecchiature possiamo comunque sintetizzarne il loro funzionamento:
- Firewall: è un insieme di software e hardware che ha il compito di collegare due o più reti e controllare il traffico in entrata e in uscita dalla rete che vogliamo proteggere così da poter individuare e bloccare un eventuale traffico non desiderato, non autorizzato o peggio ancora fraudolento;
- IDS: ha invece il compito di monitorare il traffico all’interno di un sistema così da poter individuare eventuali comportamenti insoliti o noti come dannosi (a seconda della tipologia di analisi che implementa);
La prima cosa da fare è cercare di dividere concettualmente e fisicamente i diversi server: questo per evitare che un intruso, avendo bucato le difese di una accedere alle diverse applicazioni lì residenti. In assenza di vincoli di spesa si può confinare un server su un’unica macchina fisica così da ridurre al minimo questa possibile catastrofe. Non avendo a disposizione un sufficiente numero di server fisici indipendenti si può simulare l’esistenza di più macchine distinte grazie all’utilizzo della virtualizzazione. Questa tecnica consente infatti su un’unica macchina fisica di far funzionare n sistemi operativi differenti (eterogenei e comunque in un numero determinato dalla capacità di calcolo della singola macchina).
A questo proposito è di poco tempo fa lo sforzo di due colossi della sicurezza come McAfee e Symantec che hanno presentato le proprie soluzioni al VMworld 2008 di Las Vegas. Le loro soluzioni, quella di McAfee si chiama Total protection for virtualization, sono volte a garantire la sicurezza dei sistemi virtualizzati e incarnano bene il motto della manifestazione: "La sicurezza deve essere incorporata da subito, non aggiunta dopo".
Vanno sottolineate le grandi potenzialità di questa tecnologia che mira a ottimizzare l’utilizzo dei server (altrimenti utilizzati solo per un 10%-15%) e allo stesso tempo la necessità di garantire l’assoluta indipendenza dei differenti sistemi operativi: sarebbe impensabile che al blocco di un sistema anche gli altri rimangano fuori uso.
Utilizzando a dovere gli elementi fin qui citati possiamo quindi costruire delle LAN coerenti con le nostre esigenze di sicurezza e di spesa.
- a singolo host senza firewall: in questo modo ho la LAN collegata direttamente alla linea telefonica e per di più sulla stessa macchina vengono implementati uno o più sistemi operativi con relative funzioni (per esempio il web server e il mail server). Qui la sicurezza è nulla in quanto non vi è alcun modo di controllare e al limite fermare le eventuali intrusioni (forse non dovrei neanche citarla questa configurazione ma non si sa mai…)
- a singolo host con firewall: qui introduco un primo grado di sicurezza col firewall. Vi è infatti una barriera tra il proprio/propri server, le proprie postazioni informatiche e la rete globale.
- server su macchina fisica distinta, con un firewall: qui la sicurezza dei server migliora perché in caso di manomissione dell’unico host fisico del livello precedente si avrebbe il blackout totale. Qui la compromissione del singolo host non inficia necessariamente tutti i servizi erogati. La LAN è protetta allo stesso modo di prima senza un vero e proprio controllo in ingresso.
- con ostaggio: tutti i server privati vengono protetti dal firewall come al livello superiore e si lascia in "ostaggio" un host collegato direttamente alla rete che svolge i compiti di server pubblico e non ha il permesso di accedere alla rete privata. Qui la LAN è sempre protetta da un unico firewall ma ho la certezza che l’ostaggio prima o poi verrà infettato.
- demilitarized zone: si divide la rete in due zone distinte. Si introducono due firewall:il primo che filtra, in maniera veloce e poco onerosa in termini di esigenze computazionali gli accessi ai server pubblici (mail server, web server e dns server) e un secondo firewall che invece protegge in maniera più adeguata e mirata i dati e le postazioni aziendali. Questo tipo di rete si può creare anche con un unico firewall come evidenziato in figura anche se è preferibile creare comunque le due zone distinte utilizzando due firewall differenti così ché si possano utilizzare due firewall di dimensioni,costi e prestazioni differenti. [Figura tratta da wikipedia]
Differenti strutture delle reti aziendali
Naturalmente si sono evoluti sia il modo di progettare una rete aziendale sia quello di gestire le autenticazioni di utenti esterni. Originariamente (era pre-internet) infatti si era soliti dividere semplicemente gli utenti in due domini: esterno e interno.
Tutto ciò che stava all’interno della rete aziendale era considerato sicuro e quindi non subiva particolari controlli mentre ciò che si trovava al di là del perimetro informatico dell’azienda doveva essere autenticato. Una delle prime soluzioni fu proposta da Microsoft e si chiamava Remote Access Service (RAS) e permetteva il collegamento di utenti esterni tramite modem e venivano autenticati inizialmente tramite coppia di username e password.
Attualmente, potendo sfruttare la rete internet e evitando quindi di dover posare costose linee dedicate si utilizza la Virtual Private Network: una tecnologia che permette tramite l’utilizzo di avanzate tecniche di autenticazione e di crittografia di eguagliare la sicurezza di una rete dedicata.
Essenzialmente la VPN permette di creare un tunnel di dati crittografato e farlo viaggiare sulla rete pubblica. Così da poter collegare gli utenti da qualsiasi parte del globo e al contempo garantire la sicurezza dei propri dati. La crittografia è talmente complessa che anche se un intrusore avesse a disposizione tutto il traffico e un supercomputer ad alte prestazioni non potrebbe leggere in alcun modo i dati trasmessi. Le tipologie di VPN sono essenzialmente due: Trusted VPN e Secure VPN.
Nella Trusted VPN abbiamo un client che "entra" nella VPN solo per il traffico aziendale mentre per il traffico internet si rivolge direttamente all’Internet Service Provider. Così facendo non si ha un sovraccarico del VPN server, si ha una maggiore efficienza, un minor numero di controlli ma si potrebbe attaccare la rete aziendale sfruttando il collegamento ad internet del computer.
Nella seconda tipologia (Secure VPN) abbiamo invece la creazione di un tunnel che controlla tutto il traffico proveniente dal client quindi si ha un traffico molto maggiore da controllare e da smaltire sul VPN server ma di contro c’é la possibilità di implementare tutte le policy di sicurezza come se il computer si trovasse all’interno della rete aziendale.
I protocolli più noti che implementano la VPN sono tre:
IPSEC: è uno standard comunemente usato su IPv4 per ottenere connessioni sicure. La crittografia e l’autenticazione viene qui garantita a livello di rete così da rendere il protocollo trasparente alle applicazioni (non devono queste essere modificate). IpSec è formato da una serie di protocolli formati da protocolli atti sia a crittografare i dati sia a garantire lo scambio delle chiavi per la corretta autenticazione. Per garantire la crittografia si utilizzano due protocolli noti come ESP e AH di cui il primo è più usato perché garantisce, oltre ad autenticazione e controllo dell’integrità dei dati, anche la confidenzialità. Per garantire la corretta autenticazione è utilizzato il protocollo IKE.
SSL: Secure Sockets Layer è un protocollo progettato dalla Netscape Communications Corporation per realizzare comunicazioni cifrate su internet. Garantisce l’autenticazione, la confidenzialità e l’affidabilità della trasmissione e si basa su crittografia a chiave pubblica e vengono utilizzati certificati a chiave pubblica per verificare la corretta identificazione delle parti coinvolte. Da esso deriva il più recente TLS ed entrambi possono venire utilizzati per aggiungere sicurezza a qualsiasi protocollo che utilizza TCP come per esempio HTTPS.
PPTP: il Point to Point Tunnelling Protocoll è un protocollo di proprietà di Microsoft che lavora insieme al protocollo di trasporto GRE. Potrebbe essere problematico da inoltrare attraverso un firewall di rete perché necessita due sessioni di rete e siccome alcuni firewall faticano a lasciar passare indenne questo traffico si rischia di non ottenere la connessione desiderata.
Per concludere è necessario ricordare che non esistono protocolli, apparati, tecniche sicure al 1000%, ma tutte devono essere funzione delle informazioni che devono custodire e degli "effetti collaterali" che producono in termini di costi, attenzioni e comportamenti richiesti agli utenti.