Non tutte le minacce per la sicurezza della rete provengono dall esterno: è necessario proteggere la rete anche dall interno

Transcript

1 Come proteggere la rete locale intranet Non tutte le minacce per la sicurezza della rete provengono dall esterno: è necessario proteggere la rete anche dall interno La maggior parte dei responsabili dei reparti informativi riconosce la necessità di disporre di un sistema di sicurezza della rete per proteggere la intranet aziendale contro gli attacchi esterni. Esiste una copiosa documentazione sulla minaccia dei pirati che operano attraverso Internet e violano le porte di accesso remoto. Tuttavia, poche persone hanno segnalato la graduale degradazione della protezione interna della rete a mano a mano che le reti locali e le WAN si sono diffuse nelle società. Il collegamento coassiale ha ceduto il passo alle reti Token-Ring ed Ethernet, i desktop hanno sostituito i terminali non intelligenti e l esperienza degli utenti nell ambito dei sistemi informatici è aumentata rapidamente fino al punto che essi non hanno problemi ad installare software e hardware sui propri sistemi. Non è più la "rete dei nostri padri", ma piuttosto è una tana di serpenti tecnologici in costante movimento e si deve costantemente lottare per far sì che tutto funzioni giorno dopo giorno. Non sorprende dunque il fatto che non tutti abbiano avuto il tempo di pensare alla sicurezza. Mentre gli occhi sono puntati sulla porta principale (per tenere a bada i pirati in agguato con sofisticati controlli dei gateway), nessuno controlla dall interno un pericolo altrettanto importante, se non peggiore, posto dai dipendenti, dalle terze parti, dal personale che effettua le riparazioni e dai visitatori che hanno accesso fisico alla rete interna. Le aziende, che regolarmente tengono sotto chiave i documenti cartacei importanti, spesso non sanno che gli stessi documenti possono passare attraverso la rete locale senza nessuna protezione contro l intercettazione e la divulgazione. Gli hacker sono rinomati per gli attacchi alle reti con una forte protezione esterna ma una protezione interna debole. Li chiamano siti "tootsie-pop": croccanti all esterno e morbidi all interno. Esistono software sofisticati, facilmente reperibili, che consentono a qualunque utente di trasformare il proprio desktop in una stazione d attacco dalla quale ottenere accesso alla rete (a meno che non si prendano precauzioni per proteggerla). Fortunatamente, i passaggi da seguire per ottenere una intranet più sicura sono semplici, anche se non necessariamente a buon mercato. Studiando le minacce a cui è soggetta una intranet e la tecnologia di protezione disponibile, si può scegliere in modo intelligente dove applicare alcune misure di protezione. La minaccia interna La maggior parte dei responsabili EDP ripone un enorme fiducia nei propri dipendenti e nelle altre persone che regolarmente accedono alla rete. Non c è nulla di sbagliato in questo, a condizione che la fiducia non sia l unica protezione contro gli abusi. Nessuno lascerebbe la documentazione relativa alle buste paga o le relazioni contabili sul tavolo della mensa, allo stesso modo si deve evitare di lasciare in giro i dati sensibili quando non è necessario. Un

2 atteggiamento dannoso, molto diffuso, è pensare "Ci sono pochissime cose nella rete che potrebbero interessare a qualcuno e comunque qui nessuno è in grado di manipolare la rete". Non bisogna mai sottovalutate il valore che alcune informazioni possono avere per le persone prive di scrupoli. Bisogna prendere in considerazione l elenco di tutte le persone che si possono collegare alla LAN ed estrarre dati: i dipendenti, i collaboratori temporanei, le terze parti e i consulenti, i tecnici addetti alle riparazioni e perfino i visitatori. Probabilmente esistono "uscite" dalla rete in tutta l azienda, alcune delle quali sono dimenticate e inutilizzate. Le probabilità che si riesca ad impedire a tutti di violare la rete sono praticamente zero. Anche se si riuscisse a limitare l accesso fisico al solo personale autorizzato, gli utenti legittimi potrebbero avere molte ragioni per utilizzare in modo scorretto i dati sui quali riescono a mettere le mani. Quindi, il primo passo per avere una rete più sicura è riconoscere che si devono proteggere le risorse e non limitare l accesso. Un elenco delle risorse più importanti e delle funzionalità che richiedono protezione è il seguente: accesso a programmi, dati e messaggi elettronici su mainframe, server e altri sistemi desktop degli utenti; accesso a livello di configurazione alle periferiche di rete quali hub, switch e router; informazioni sull architettura della intranet, incluse le strutture di protezione e i meccanismi di sicurezza posti sui gateway della rete; informazioni che passano tra i nodi su un segmento della LAN della intranet o tra segmenti tramite un sistema di indirizzamento WAN; trasmissione di grosse quantità di informazioni in uscita dalla rete tramite posta elettronica o trasferimento di file. È opportuno innanzitutto analizzare la rete per vedere quali protezioni sono state adottate per ciascuna di queste risorse; quindi, utilizzando le direttive fornite nei paragrafi che seguono, si potranno preparare piani per bloccare le risorse non protette (sarà sorprendente constatare quante risorse non sono protette). I passaggi fondamentali per aumentare la protezione della intranet sono i seguenti: accertarsi che tutti i servizi accessibili al pubblico su tutti i computer collegati siano protetti da password e che l accesso di manutenzione a qualunque periferica di rete sia bloccato con una password; tenere registri degli accessi per quanti più servizi possibile e stabilire procedure per una revisione periodica di questi registri;

3 limitare l accesso ai diagrammi della rete, alle assegnazioni degli indirizzi IP, ai documenti di inventario della rete e ad altri documenti relativi all architettura della intranet; attuare una politica che proibisca agli utenti di installare ed utilizzare i tool di monitoraggio e scoperta della rete e il software server quale i server Web e FTP (File Transfer Protocol); prevenire intrusioni nella rete eliminando le tecnologie di rete per trasmissioni quali le unità di accesso per stazioni multiple (MAU) Token-Ring e gli hub Ethernet. Utilizzare invece la tecnologia di commutazione; evitare di usare protocolli di indirizzamento della rete che automaticamente configurano i percorsi predefiniti. Utilizzare solamente l indirizzamento statico all interno della intranet, con percorsi predefiniti solamente per il traffico su Internet; proibire l accesso remoto in uscita ad altre reti o computer eccetto attraverso i canali controllati e tenere registri dell attività di accesso remoto in uscita.; accertarsi che il firewall blocchi i trasferimenti di file in uscita arbitrari e che tutti i trasferimenti in uscita necessari vengano registrati e controllati. Queste misure bloccheranno i "vuoti" più ovvi nella rete, ma sono da considerarsi come il livello minimo di impegno che un amministratore della rete responsabile deve garantire. Il costo principale per l implementazione è costituito dalla manodopera necessaria per creare e gestire le protezioni, anche se probabilmente sarà necessario investire in alcune infrastrutture hardware per sostituire dispositivi non sicuri quali gli hub Ethernet. Tuttavia, si possono prendere in considerazione anche metodi più drastici (per esempio la crittografia dei dati) per i dati altamente sensibili. Con questa "mappa" si può ora analizzare nel dettaglio ciascun settore che comporta problemi. Chi ha l accesso? In qualunque centro esiste un controllo delle password sull AS/400. L importanza di proteggere questa risorsa centralizzata è ovvia. Tuttavia, è altrettanto importante accertarsi di avere una protezione con password su tutti gli altri server e le altre periferiche, per esempio i server di file condivisi, i server Web della intranet e la condivisione di file "peer-to-peer". Sebbene questo atteggiamento crei più lavoro di quando si consente l accesso libero a tutti, è l unico modo per garantire che gli "utenti" indesiderati non possano accedere ai servizi di rete fondamentali. Per impedire ai collaboratori temporanei di raccogliere informazioni interne è necessario bloccare anche ciò che gli utenti usano regolarmente. Dato che la protezione delle password dipende dalla collaborazione degli utenti, vale la pena pensare quale sarà l effetto delle password sugli utenti. In primo luogo, perché le password siano efficaci, devono essere abbastanza comode da

4 usare. In secondo luogo, per essere davvero sicure, le password devono essere uniche, quindi non si deve usare la stessa password per tutti o la stessa password per tutti gli utenti appartenenti allo stesso gruppo. A ciascun utente deve essere assegnata un unica password, se possibile, e, per ciascun utente, è necessario avere un elenco di tutte le risorse a cui l ID utente/password consente di accedere. Suddividendo l accesso in questo modo, se la password di un utente risulta compromessa non sarà necessario dare nuove password a più persone e basterà revocare l accesso ad uno o più servizi per un singolo utente. Una delle tradizionali regole empiriche sulle password è che gli utenti dovrebbero cambiarle spesso. Molti sistemi utilizzano date di scadenza per obbligare gli utenti a cambiare la propria password a intervalli regolari. Con tutti questi utenti che cambiano le password per tutti i vari servizi, l unico sistema pratico per controllare le password in modo efficace è avere un amministrazione centralizzata. Si possono gestire manualmente elenchi di utenti e password, oppure si possono utilizzare server di autenticazione centralizzati. Il server di autenticazione più comune attualmente in uso è RADIUS (Remote Authentication Dial-In User Service). Con RADIUS si gestisce un server di autenticazione principale contenente un database protetto di utenti, risorse e password e possibilmente anche uno o due server di backup. Le periferiche che devono autenticare gli utenti (un server di database, per esempio, oppure un server di accesso remoto) richiedono all utente un ID e una password e li passano al server RADIUS tramite una sessione cifrata. Il server RADIUS dice sì o no. Con RADIUS è possibile modificare immediatamente l accesso dell utente ad una vasta gamma di servizi senza aggiornare le tabelle utente sul servizio stesso. Inoltre, RADIUS include una funzione di contabilità che registra a livello centrale tutti gli accessi e i tentativi di accesso, fornendo un unico punto di controllo per le regolari revisioni della sicurezza. La figura 1 illustra una tipica console RADIUS. Purtroppo i server abilitati per RADIUS non sono ancora tanto diffusi da costituire la soluzione ultima per l amministrazione degli accessi. In particolare, l AS/400 non può né fungere da server RADIUS né utilizzare un server RADIUS esterno per controllare l accesso. Quindi, nell attuale ambiente intranet, si dovranno svolgere parecchia attività di amministrazione manuale delle password. Un database RADIUS può comunque costituire un deposito centralizzato eccellente per le informazioni sulle password degli utenti. Non bisogna però dimenticarsi di proteggere il database. L altro luogo in cui sono necessari i controlli con password è l accesso di manutenzione a tutti i dispositivi di rete poco "intelligenti" presenti nella intranet: hub, switch, router, server per i terminali, eccetera. Molte di queste periferiche possono essere utilizzate per intrufolarsi nel traffico della rete (come verrà descritto nel successivo paragrafo), quindi è necessario bloccare sistematicamente ciascuna di queste periferiche utilizzando una password unica. Qui l enfasi va messa sulla parola unica. Si deve resistere alla tentazione

5 di dare a tutte le periferiche, o a tutte le periferiche di una classe (per esempio gli hub), la stessa password. Queste periferiche solitamente non supportano password utente multiple, quindi esiste già un punto debole nel fatto che una singola password sarà nota a tutti i tecnici della rete autorizzati. Le password uniche limitano il danno causato quando viene compromessa una password per una periferica. Inoltre, per le periferiche che supportano la registrazione remota dell accesso di manutenzione, è necessario attivare questa registrazione e rivedere i registri regolarmente. Il meccanismo di registrazione più comune si chiama syslog, dalla utility Unix con lo stesso nome. Si configura la periferica con l indirizzo IP di uno o più server syslog e la periferica invia i propri messaggi a quel server per la registrazione permanente. Esistono programmi syslog, spesso denominati syslogd (che sta per syslog daemon), per piattaforme Windows, Macintosh e Unix (ma purtroppo non per l AS/400). Se si usa RADIUS per gestire il database centrale delle password, si deve fare attenzione ad utilizzare il metodo con password cifrate per memorizzare le password. Non si deve utilizzare il metodo di memorizzazione delle password con testo in chiaro. Con le password cifrate non si può mai visualizzare una password, la si può solo modificare. Quindi, se un utente si dimentica la propria password, se ne dovrà creare una nuova. Cosa più importante, tuttavia, un intruso che ottenga accesso al server RADIUS non sarà in grado di conoscere le password degli utenti. Se si gestisce manualmente l elenco delle password, è opportuno non memorizzarlo su un computer collegato alla rete, altrimenti chiunque ottenga accesso a quel computer potrà avere accesso a tutte le macchine della rete. I "ficcanaso" Una volta bloccato l accesso ai server ed ai servizi di rete dalla porta principale, si deve controllare l accesso dalla porta di servizio. Un utente di una LAN può intromettersi in tutto il traffico sul segmento LAN al quale è collegato. Utilizzando una funzionalità chiamata modalità promiscua supportata dalla maggior parte delle schede di interfaccia rete LAN (NIC), i programmi chiamati "sniffer" (o analizzatori della rete) sono in grado di catturare tutti i pacchetti, visualizzarli, smontarli e rimontarli per ricostruire i trasferimenti di dati completi quali file e messaggi di posta elettronica. Questo sistema di accesso non autorizzato in modalità promiscua funziona perché le tecnologie LAN più diffuse, Ethernet e Token-Ring, dipendono da un broadcast (diffusore) per realizzare una condivisione dei dati, ad alta velocità ed economica, tra i nodi di una rete. Ogni periferica di un segmento di trasmissione riceve tutti i pacchetti inviati da qualunque altro nodo e dipende semplicemente dalla correttezza del singolo utente ignorare i pacchetti che non sono di sua competenza. La figura 2 mostra come funziona la modalità promiscua in reti Ethernet e Token-Ring. La figura 3 offre un immagine raggelante di ciò che un pirata è in grado di ottenere dalla rete.

6 Gli "sniffer" sono strumenti pericolosi. Purtroppo sono anche ampiamente disponibili su Internet, sia in forma di programmi shareware scritti da hacker, sia in forma di copie illegali di pacchetti di analizzatori di rete legittimi. Non è facile tentare di individuare l esistenza di software "sniffer" nei computer di rete, per non parlare del loro utilizzo. È sufficiente ridenominare un programma e camuffarlo come un componente comune del sistema operativo per nasconderlo nel disco fisso di un utente. Peggio ancora, le periferiche dell infrastruttura di rete, per esempio gli hub e i router, possono facilmente essere guidati ad intrufolarsi nella rete. La figura 4 mostra un router comune utilizzato per catturare pacchetti e passarli ad un utente non autorizzato. L unica soluzione pratica per risolvere il problema delle intrusioni nella rete è di limitare le dimensioni di un segmento LAN ad un utente. Questo procedimento è semplice, anche se non necessariamente economico: si deve sostituire ogni periferica di rete in modalità diffusione (cioè hub Ethernet e MAU Token-Ring) con periferiche in modalità commutata. Una periferica in modalità commutata indirizza in modo trasparente il traffico da un nodo ad un altro in base al proprio indirizzo di controllo di accesso ai supporti (MAC da Media Access Control). Dato che i pacchetti di dati non vengono mai trasmessi a tutte le porte su uno switch, intrufolarsi in una rete in modalità commutata è impossibile. Fortunatamente il prezzo di un sistema di commutazione è diminuito notevolmente. È possibile acquistare switch Ethernet per meno di 100 dollari per porta rivolgendosi a società quali 3Com, Bay Networks e Cisco. Bisogna comunque sostituire tutti i sistemi broadcast contemporaneamente se si vogliono sconfiggere definitivamente i ficcanaso. Se si collega un hub ad uno switch, si lascia aperto un passaggio (l hub in modalità broadcast) attraverso cui gli hacker potranno accedere alle informazioni. Etherpeek di AG Group, NetXray di Cinco Networks e Sniffer di Network General sono tre analizzatori di rete commerciali molto conosciuti. Vale la pena dotarsi di uno di questi sistemi per "ficcare il naso" nella propria rete e confermare che i dati sensibili non siano visibili dove non devono essere visibili. La mappa della rete A mano a mano che i tool di amministrazione della rete diventano più facili da usare, gli utenti hanno più opportunità di acquisire conoscenze che non dovrebbero avere. Un caso di questo genere è costituito dalle informazioni sull architettura della rete. I moderni monitor di rete tipicamente includono tool intelligenti di "scoperta della rete" che sondano una rete e costruiscono istantaneamente una mappa della rete stessa. Questi tool spesso identificano il produttore e il tipo di ciascuna periferica della rete e forniscono comodi tool per l accesso di manutenzione strutturati appositamente per tali periferiche. Alcuni di questi tool costano migliaia di dollari, ma esistono versioni pirata su Internet. Un hacker dotato di una mappa precisa di una intranet è molto più pericoloso di un pirata che si aggira nella rete al buio.

7 Per proteggersi dagli effetti di questi tool di scoperta della rete non autorizzati esistono due metodi. In primo luogo, si deve stabilire una politica che proibisca l uso di questi tool da parte degli utenti e mettere in atto questa politica regolarmente tramite revisioni. In secondo luogo, è necessario controllare attivamente se esistono monitor di rete non autorizzati eseguendo il proprio monitor di rete. Il protocollo più comune utilizzato per le azioni di scoperta della rete è l SNMP (Simple Network Monitoring Protocol), ma è necessario anche individuare i tentativi di accesso arbitrario ad altri protocolli TCP/IP comuni, quali Telnet (porta 23) e HTTP (Hypertext Transport Protocol, porta 80), e i tentativi di scansione sequenziale degli indirizzi IP utilizzando il comando PING dell ICMP (Internet Control Message Protocol). Non è possibile monitorare l intera LAN (se sono state bloccate le intrusioni utilizzando switch LAN), ma un monitor di rete con un indirizzo IP statico posto da qualche parte nella rete rileverà la campionatura sistematica che è la firma delle scansioni di scoperta della rete. Il monitor catturerà sia l indirizzo IP che l indirizzo MAC dell hacker. Bisognerà poi individuare la macchina nella rete. Un modo semplice per ottenere un indirizzo MAC consiste nell utilizzare il comando PING da un PC Windows per eseguire un ping di un particolare indirizzo IP e quindi utilizzare il comando ARP-A in modalità DOS di Windows per visualizzare l indirizzo MAC scoperto per tale indirizzo IP (ARP sta per Address Resolution Protocol, protocollo di risoluzione degli indirizzi). SNMpc di Castle Rock, Intermapper di Dartmouth e Open View di Hewlett- Packard sono monitor di rete SNMP commerciali che possono essere utilizzati per eseguire il continuo monitoraggio della rete. Per le reti locali di piccole e medie dimensioni, i monitor SNMP di bassa gamma sono economici e forniscono informazioni di inestimabile valore sulle prestazioni della LAN. La protezione via SNMP Oltre all accesso con password per la manutenzione, molte periferiche dell infrastruttura di rete supportano la gestione remota intelligente utilizzando il protocollo SNMP. Esistono due versioni dell SNMP, SNMP-1 e SNMP-2, ma solamente l SNMP-1 è ampiamente supportato. Purtroppo non è affatto sicuro. La protezione SNMP è data dall uso di nomi comuni, i quali sono semplicemente parole o frasi simili a password utilizzate per limitare l accesso SNMP ad una periferica. Ogni periferica SNMP ha almeno due nomi comuni, un nome abilitato per la lettura e un nome abilitato per la lettura/scrittura. Con l SNMP, una stazione centrale di gestione della rete invia periodicamente interrogazioni all agente SNMP (software SNMP incorporato) in ciascuna periferica LAN nota, chiedendo quale sia lo stato della periferica, le statistiche del traffico e le condizioni di errore. L interrogazione SNMP contiene il nome comune e l agente della periferica confronta questo nome con il proprio nome comune. Se i nomi non corrispondono, l agente ignora l interrogazione. Oltre alle interrogazioni, la stazione di gestione SNMP può inviare operazioni di scrittura SNMP per modificare la configurazione di una periferica, attivare o disattivare funzionalità o riavviare la periferica. Per le operazioni di scrittura l agente accerta che il

8 nome comune del comando entrante corrisponda al nome comune di scrittura della periferica. Il problema è che l SNMP-1 invia nomi comuni sotto forma di testo in chiaro. Anche se si è protetta la rete contro le intrusioni, il nome comune con testo in chiaro costituisce un punto debole in quanto il gestore SNMP non fa differenza tra le periferiche a cui invia interrogazioni SNMP. Molti gestori SNMP utilizzano l SNMP in modalità di scoperta e, nel tentativo di essere utili, inviano periodicamente pacchetti di scoperta a periferiche ignote per includerle nella gestione della rete. Una persona malintenzionata che gestisca una periferica ignota può semplicemente catturare il nome comune SNMP dalla richiesta SNMP in entrata (figura 5) e quindi programmare il nome comune nel proprio monitor di rete e procedere con la scoperta della rete. La situazione peggiora. Il nome comune predefinito per la lettura è "public" e il nome comune predefinito per la lettura/scrittura è "private". Esistono molti gestori della rete che ingenuamente credono che la parola "private" significhi che l accesso di scrittura SNMP è disattivato. Invece "private" è solamente una parola priva di significato reale in quanto qualunque comando SNMP in entrata con il nome comune "private" otterrà l accesso. Tuttavia gli hacker conoscono la verità. L SNMP-2 non ha questo problema. Infatti esso cifra il nome comune per ciascuna periferica che interroga, rendendone impossibile la cattura. La morale è che se si usa l SNMP-1 (e lo si usa), si deve impostare sia il nome comune per la lettura che quello per la lettura/scrittura di ciascuna periferica della rete ad un valore segreto unico e si deve memorizzare l elenco dei nomi nel monitor SNMP. Non si deve utilizzare lo stesso nome comune per tutte le periferiche, anche se questo era l intento originale dei nomi comuni (e il motivo per cui non sono definiti come "password comune"). Utilizzando nomi unici si impedisce che il tool di gestione della rete riveli i nomi comuni ampiamente usati. È opportuno impostare i nomi comuni predefiniti del gestore della rete a "public" e "private" in modo che qualunque periferica inavvertitamente collegata con i nomi comuni predefiniti appaia sullo schermo del monitor segnalando così il problema. Un ultimo punto sull SNMP. Alcuni sistemi operativi per desktop (quali Windows NT) supportano l SNMP. Per default questa funzionalità non è attiva, ma potrebbe essere banale per un utente finale attivare l SNMP. La cosa migliore è eliminare questo software, se possibile, supponendo che non si preveda di utilizzare l SNMP per la gestione dei desktop. La strada per l inferno La strada per l inferno è lastricata di buone intenzioni e le buone intenzioni sono la causa dei "buchi" nella protezione delle intranet. L indirizzamento tra le reti è sempre stato un argomento complicato e i fornitori lottano costantemente per automatizzare la funzione e ridurre il lavoro relativo alla manutenzione della rete. Tuttavia, i protocolli di indirizzamento modem

9 possono essere fin troppo automatici. La maggior parte dei protocolli di indirizzamento non dispone di sistemi di protezione incorporati, cosa che può essere ampiamente sfruttata se non si fa attenzione. Per evitare di subire i danni causati dalle lacune di sicurezza dei protocolli di indirizzamento, non si dovrebbero utilizzare le funzionalità di indirizzamento automatico a meno che non si comprenda a fondo il loro funzionamento e le loro implicazioni per la sicurezza. L elevato numero di protocolli e varianti rende impossibile trattare in modo esauriente l argomento in questa sede, ma il problema di indirizzamento più comune è semplice da individuare e risolvere. I protocolli di indirizzamento TCP/IP che si possono incontrare in una LAN sono Routing Internet Protocol (RIP), Open Shortest Path First (OSPF), Internal Gateway Routing Protocol (IGRP), Internal Border Gateway Protocol (IBGP) e Border Gateway Protocol (BGP). Oggi il protocollo di indirizzamento LAN più diffuso è il RIP. Il RIP determina in modo sicuro l iter attraverso la rete da una qualunque destinazione ad una qualunque altra destinazione. Con il RIP, tutte le periferiche della rete si scambiano informazioni di indirizzamento che descrivono le periferiche che raggiungono, creando una mappa che segnala dove inviare il traffico. Quando un utente che si trova in un segmento della rete vuole inviare dati ad un utente che si trova in un segmento remoto, l utente di origine deve solamente conoscere il router del ramo successivo; quel router conoscerà il ramo successivo e così via fino alla destinazione. Il vantaggio di questo approccio è che i router che intervengono possono indirizzare automaticamente attraverso le uscite della rete utilizzando anche percorsi alternativi, se necessario. Il punto debole nella "corazza" del RIP è nel primo ramo dal desktop dell utente al router. Il computer dell utente normalmente ha programmato al proprio interno l indirizzo IP del router del primo ramo (chiamato indirizzo gateway). Tuttavia, molti sistemi desktop e perfino altri router possono apprendere l iter predefinito da una trasmissione RIP. Per chi si voglia intrufolare nella rete è sufficiente configurare il proprio computer in modo che agisca come un router e invii trasmissioni RIP simulate dicendo "Sono il router predefinito, inviami i pacchetti in uscita!". Se un sistema desktop intercetta questa trasmissione, esso sostituisce il proprio indirizzo gateway preconfigurato con l indirizzo dell intruso e invia tutto il traffico destinato ad altre reti alla macchina simulatrice (figura 6). L intruso può quindi controllare tutto il traffico prima di indirizzarlo alla sua destinazione corretta. Cosa ancora peggiore, se un router viene raggirato in modo da pensare che la macchina dell intruso sia l iter predefinito, esso può indirizzare in modo errato il traffico per le macchine desktop che hanno l indirizzo gateway corretto. Per risolvere questo problema si deve disattivare l apprendimento dell iter predefinito su tutte le periferiche di rete. In primo luogo ci si deve accertare che ciascuna periferica, inclusi i sistemi desktop, abbia un iter predefinito codificato in modo fisso (chiamata statica). Quindi si deve disattivare l apprendimento dell iter predefinito e riavviare la periferica. Il parametro

10 dell iter predefinito solitamente è etichettato con qualcosa di simile ad "accetta trasmissioni iter predefinito" (questo è il valore da modificare). L AS/400 automaticamente ignora le trasmissioni dell iter predefinito se si stabilisce un iter statico predefinito specificando un indirizzo per il campo del gateway predefinito (Ramo successivo) nella schermata delle impostazioni TCP/IP (figura 7). Come bloccare gli intrusi Dato che un indirizzamento sicuro dipende dall evitare di riporre una cieca fiducia nelle trasmissioni di indirizzamento, la sicurezza delle informazioni affidate agli utenti dipende dall evitare che questi possano far uscire tali informazioni dall azienda. Purtroppo, la maggior parte delle configurazioni firewall, che provvede ad escludere coloro che si intromettono nella rete attraverso Internet, non fa nulla per impedire che i dati importanti dell azienda escano dalla rete tramite la connessione Internet della società. I due modi più comuni in cui le informazioni escono dalla LAN è tramite la posta elettronica e tramite i trasferimenti di file. Qualunque dipendente può allegare un file sensibile ad un messaggio di posta elettronica e inviarlo ovunque, a meno che non si attuino restrizioni sui messaggi di posta elettronica in uscita. Analogamente, qualunque dipendente può utilizzare il proprio browser Web per inviare un file sensibile tramite l FTP ad un sito remoto su Internet, a meno che non si controllino i trasferimenti di file in uscita. Proteggere la posta elettronica in uscita è facile: basta bloccare tutta la posta in uscita al firewall eccetto la posta che ha origine dal gateway di posta elettronica interno. Qualunque utente interno che voglia inviare posta all esterno deve prima inviare la posta al gateway, dove si possono registrare gli indirizzi di origine e di destinazione del messaggio. Facoltativamente si possono limitare le dimensioni dei messaggi, impedendo ai dipendenti di allegare grossi file alla posta in uscita. È importante informare i dipendenti del fatto che gli indirizzi dei messaggi vengono registrati ed è ugualmente importante rivedere periodicamente i registri, come pure i record della posta rifiutata a causa delle restrizioni sulle dimensioni. Bloccare l FTP è un po più difficile. Molti firewall consentono di bloccare solamente le sessioni FTP in entrata e non i trasferimenti di file in uscita. Per bloccare i trasferimenti in uscita è necessario avere un firewall dinamico che tiene conto delle sessioni in corso e quindi offre la possibilità di impedire determinate operazioni. A meno che i dipendenti non debbano regolarmente trasferire file su Internet, è opportuno bloccare tutto l FTP e richiedere agli utenti di inviare tutti i file in uscita ad una sola persona che dovrà esaminare tutti questi trasferimenti. Come convivere con i sistemi di protezione

11 Come non è possibile garantire che un dipendente non irrompa nella sala in cui sono immagazzinate le scorte di materiali per ufficio e rubi tutte le penne e le cucitrici, allo stesso modo non si può garantire che qualche dipendente o persona fidata della società non violi la fiducia riposta in lui e faccia cattivo uso delle informazioni della rete. Tuttavia, si può rendere molto più difficile un abuso di questo genere e si può semplificarne l individuazione e il reperimento di prove adottando le precauzioni per la protezione della rete qui descritte. Bisogna assumere un controllo attivo dell accesso remoto individuando e bloccando tutti gli accessi remoti in entrata e in uscita. Quindi si razionalizzano le password e si stabilisce un sistema disciplinato di amministrazione delle stesse. Poi si informa il personale dell adozione di una politica di protezione di base, sottolineando la necessità che ogni singolo individuo protegga le informazioni della società e facendo un elenco dei software, per esempio gli scanner di rete, che i dipendenti non possono installare o utilizzare. Si programma una revisione di tutte le periferiche dell infrastruttura per verificare che siano necessarie le password per amministrarle tutte in modo remoto e che tutte utilizzino iter predefiniti statici. Attuando queste misure, che richiedono solamente manodopera, si deve determinare il costo di un upgrade degli hub di rete non sicuri per proteggere gli switch della rete in modo da poter presentare il costo alla direzione come spesa per la sicurezza. È importante sottolineare a quali responsabilità l azienda dovrà far fronte se le informazioni vitali dovessero essere compromesse a causa di un insufficiente protezione della rete. L importante è non fare l errore di trasformare la protezione LAN in un progetto enorme che richieda molti finanziamenti e una grossa pianificazione in quanto questo non farà altro che ritardare le azioni effettive. È invece importante iniziare a lavorare subito, eseguendo quanti più interventi di protezione possibile e giustificando gli interventi per ottenere finanziamenti, se necessario, per attivare le misure successive. Figura 1: Una tipica console del server di autenticazione remota di RADIUS

12 Back Figura 2: Funzionamento in modalità promiscua su reti Ethernet e Token-Ring La stazione D, in modalità promiscua, legge il pacchetto dalla rete La stazione A trasmette il pacchetto per la stazione B Le altre stazioni ignorano la trasmissione per la stazione B La stazione B "sente" la trasmissione, si riconosce come destinazione e riceve il pacchetto dalla rete La stazione D, in modalità promiscua, legge il pacchetto dalla rete Pacchetto trasmesso per la stazione B Il pacchetto prosegue nell anello per la verifica del mittente, ignorato dalle altre stazioni La stazione B riceve il pacchetto

13 Back Figura 3: Il traffico LAN catturato su un monitor di rete clandestino Back Figura 4: Intrusione nella LAN remota utilizzando i comandi di debug incorporati di una periferica di rete

14 Back Figura 5: Cattura dei nomi comuni SNMP dalle campionature del monitor di rete Back Figura 6: La pubblicità dell iter predefinito RIP intruso reindirizza il traffico Internet Il router intruso riceve pacchetti, li ispeziona e li indirizza Internet per deviare i sospetti Un utente illegale trasmette l iter predefinito dell intruso L utente LAN invia il traffico indirizzato a Internet ad un nuovo router intruso predefinito L utente LAN riceve un nuovo iter predefinito e sostituisce l iter al router di Internet

15 Back Figura 7: Disattivazione dell apprendimento dell iter predefinito RIP nell OS/400 Web of the Rat Back